Что значит третьи лица в обработке персональных данных

Обновлено: 25.04.2024

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

  • Ф. И. О.;
  • контакты (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски споров в суде общей юрисдикции. Ситуации, связанные со ст. 3

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

(п. 1.1 введен Федеральным законом от 30.12.2020 N 519-ФЗ)

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

При взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).

Зачем передавать персональные данные третьим лицам?

Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.

Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.

Многие организации гордятся своими дополнительными трудовыми условиями под названием "социальный пакет". В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.

Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.

Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.

Особенности оформления согласия на передачу персональных данных третьим лицам

О чем не нужно волноваться?

Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям - это ошибочное мнение.

В Федеральном законе " О персональных данных " закреплён принцип целевой обработки данных - это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу , а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.

Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация. Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.

Если в тексте согласия указано просто "передача данных третьим лицам", то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).

Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.

Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.

Дополнительные материалы по теме этой статьи:

5 марта 2020 года (редакция текста 28 июня 2020 года).

Автор: юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении , пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Если у вас есть сотрудники — вы автоматически становитесь оператором персональных данных, а значит должны соблюдать правила работы с ними. Вполне возможно, что о некоторых из них вы даже не подозревали. Почитайте статью, чтобы знать и избежать штрафов.

Что такое персональные данные

Это любые факты, события, обстоятельства жизни и другая информация, благодаря которым можно идентифицировать личность физлица.

Точного перечня персональных данных нет. Что в него включать, зависит от ситуации. В частности, к персональным данным работника относятся:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации и фактического проживания;
  • номер телефона;
  • национальность;
  • семейное положение;
  • сведения о детях, родственниках;
  • социальное, имущественное положение;
  • образование, профподготовка, повышение квалификации;
  • профессия, специальность;
  • доходы;
  • состояние здоровья;
  • информация о судимости;
  • сведения о предыдущем месте работы: должность, зарплата и т. д.;
  • политические и религиозные взгляды и др.

По отдельности эти сведения не будут персональными данными. Например, адрес без ФИО проживающего. Или номер телефона, если непонятно, чей он. Персональными они становятся, когда по этим данным можно прямо или косвенно определить конкретного человека.

Не относится к персональным данным ИНН. Минфин объясняет , что он нужен только для учёта налогоплательщиков внутри налоговой системы и для ускорения обработки большого потока информации.

Документы, которые содержат персональные данные работников:

  • трудовой договор и допсоглашения к нему;
  • приказы о приёме на работу, о переводе, о совмещении, об отпуске, о премировании, об увольнении и т. д.;
  • документы по аттестации работника;
  • трудовая книжка;
  • личное дело;
  • график отпусков;
  • расчётный листок;
  • зарплатная ведомость;
  • копии паспорта, документа об образовании, военного билета;
  • личная карточка и др.

Такие документы работодатели обязаны вести и хранить по особым правилам.

Как работать с персональными данными

Основные документы, которыми нужно руководствоваться в работе с персональными данными — это закон № 152-ФЗ и глава 14 ТК РФ .

Что такое обработка персональных данных и как её вести

Обработкой персональных данных считаются любые действия, которые с ними можно произвести вручную или с помощью программ и сервисов:

  • сбор;
  • передача
  • запись;
  • хранение;
  • изменение;
  • распространение (неограниченному кругу лиц);
  • предоставление (конкретным лицам);
  • анализ;
  • удаление и т. д.

Организация или ИП, у которых есть работники, считаются операторами персональных данных, так как получают и обрабатывают информацию о физлицах.

В некоторых случаях обработку нельзя сделать без ведома Роскомнадзора ( ч. 1 ст. 22 Закона № 152-ФЗ ). В частности, если работодатель:

  1. Получает любую дополнительную информацию о сотрудниках, которую не обязывает собирать ТК РФ. Например, их фотографии.
  2. Ведёт обработку не только в рамках трудовых отношений. Например, подаёт данные сотрудников в страховую компанию для оформления полисов ДМС или устанавливает видеонаблюдение на рабочих местах.

Если работодатель обрабатывает информацию только в рамках трудовых отношений, никаких уведомлений не нужно.

Положение о работе с персональными данными

Всем работодателям нужно составить локальный нормативный акт — положение о работе с персональными данными. Установленной формы нет, но обычно в нём несколько разделов:

  • общие положения — цель документа;
  • основные понятия — расшифровки терминов, которые фигурируют в документе (обработка, распространение и т. д.);
  • состав персональных данных — какая информация к ним относится, список документов, в которых она содержится;
  • правила получения, обработки, передачи, хранения и использования персональных данных;
  • список сотрудников, у которых есть допуск к таким данным;
  • порядок хранения — где и как хранятся персональные данные, меры по защите;
  • ответственность за нарушение правил работы с персональными данными;
  • заключительные положения — с какой даты вводится в действие, кто назначен ответственным.

Формулировки можно брать из Закона № 152-ФЗ . Внизу, на последнем листе расписывается сотрудник, составивший документ. Чаще всего это специалист по кадрам.

Положение утверждает руководитель организации, ИП или уполномоченный сотрудник. До утверждения документ могут согласовать другие заинтересованные работники (например, руководитель отдела кадров или юрист), если такой порядок принят у работодателя.

Утвердить и ввести в действие положение можно приказом или грифом «Утверждаю» с должностью, подписью, ФИО и датой, который ставят в правом верхнем углу первого листа документа.

С положением нужно ознакомить всех работников под подпись. Это можно сделать:

  • на отдельном листе ознакомления и подшить его к положению;
  • в специальном журнале ознакомления с локальными нормативными актами работодателя;
  • на последнем листе второго экземпляра трудового договора, который будет храниться у работодателя.

Если работник отказывается ознакомиться с положением о работе с персональными данными, оформите акт об отказе. Это будет подтверждением того, что вы выполнили свои обязанности и убережёт от претензий проверяющих.

Когда нужно согласие на обработку персональных данных и как его оформить

Не всегда нужно получать письменное согласие работника на обработку его персональных данных. Например, оно не потребуется для:

  • оформления и исполнения трудового договора;
  • заполнения личной карточки и других кадровых документов;
  • передачи в органы статистики при условии, что данные обезличены, то есть их нельзя отнести к конкретному физлицу;
  • передачи в налоговую инспекцию, соцстрах, пенсионный фонд, военкомат — по их запросам или в составе отчётности;
  • внесения в специальный реестр ЕСИА информации о корпоративных сим-картах сотрудников;
  • передачи по запросу в прокуратуру, МВД, ФСБ и в другие ведомства, которым разрешено запрашивать информацию о работниках.

Подтверждение — ст. 86 , 88 ТК РФ, п. 2 ч. 1 ст. 6 закона № 152-ФЗ., п. 2 ст. 44 закона № 126-ФЗ и т. д.

Взять согласие на обработку нужно, если вам понадобилось больше информации о работнике, чем установлено в ТК РФ или при передаче данных третьим лицам. Например, когда:

  1. Вы хотите запросить сведения о жилищных условиях работника, чтобы понимать, в каком жилье он нуждается. Это бывает нужно, когда в трудовом договоре есть дополнительное условие о предоставлении квартиры для проживания на время исполнения трудовых обязанностей.
  2. Вы передаёте кадровое делопроизводство или бухучёт на аутсорсинг.
  3. Вам нужна фотография работника на пропуск для прохода на рабочее место.
  4. Вы хотите разместить персональные данные работника на корпоративном сайте, например, его фото, должность, сведения об образовании и т. д.

В согласии на обработку персональных данных нужно прописать ( п. 4 ст. 9 закона № 152-ФЗ ):

  • ФИО и адрес работника;
  • серию и номер паспорта, дату выдачи и кем выдан;
  • наименование или ФИО работодателя, его адрес;
  • для какой цели понадобилось согласие;
  • список информации для обработки;
  • какие действия будут производиться с этими данными;
  • способы обработки;
  • срок действия согласия и как его отозвать.

Согласие можно оформлять на бумаге с собственноручной подписью работника или в виде электронного документа, подписанного ЭП.

Когда вы публикуете в интернете информацию о работниках — это распространение персональных данных неограниченному кругу лиц. В этом случае надо получить отдельное согласие — на распространение. Его оформляют с учётом требований Роскомнадзора и ст. 10.1 закона № 152-ФЗ .

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски арбитражных споров и споров в суде общей юрисдикции. Ситуации, связанные со ст. 6

Споры в суде общей юрисдикции:

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

(п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

(см. текст в предыдущей редакции)

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

(п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

(см. текст в предыдущей редакции)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

О выявлении конституционно-правового смысла п. 8 ч. 1 ст. 6 см. Постановление КС РФ от 25.05.2021 N 22-П.

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

(п. 9.1 введен Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

(см. текст в предыдущей редакции)

10) утратил силу с 1 марта 2021 года. - Федеральный закон от 30.12.2020 N 519-ФЗ;

(см. текст в предыдущей редакции)

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Читайте также: