Субъект персональных данных
Субъект персональных данных — это физическое лицо, к которому относятся конкретные персональные данные, и которое может быть прямо или косвенно идентифицировано на основании этих данных. Понятие является ключевым в законодательстве о защите информации, в том числе в Федеральном законе РФ «О персональных данных» № 152-ФЗ, и определяет права, обязанности и механизмы взаимодействия между гражданином и операторами, обрабатывающими его информацию.
Правовой статус субъекта персональных данных
Субъект персональных данных занимает центральное место в системе правового регулирования обработки информации. Законодательство исходит из принципа, что любые действия с данными человека должны осуществляться с его согласия или на иных законных основаниях, при этом субъект наделён набором прав, позволяющих контролировать использование своей информации.
Основные права субъекта
Права субъекта персональных данных закреплены в главе 3 Федерального закона № 152-ФЗ и включают:
- Право на доступ к своим данным. Субъект имеет право требовать от оператора подтверждения факта обработки его данных, ознакомления с их содержанием, источниками получения и целями обработки. Оператор обязан предоставить эту информацию в течение 30 дней с момента запроса (в некоторых случаях — до 10 рабочих дней).
- Право на уточнение, блокирование и уничтожение данных. Если данные являются неполными, устаревшими, неточными или получены незаконно, субъект может потребовать их исправления или удаления. Оператор обязан выполнить требование в течение 7 рабочих дней, если нет оснований для отказа.
- Право на отзыв согласия. Субъект может в любой момент отозвать ранее данное согласие на обработку персональных данных. В этом случае оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом (например, для исполнения договора).
- Право на обжалование действий оператора. Субъект может подать жалобу в уполномоченный орган по защите прав субъектов персональных данных (в России — Роскомнадзор) или обратиться в суд.
- Право на возмещение убытков и компенсацию морального вреда. Если нарушение прав субъекта привело к материальному или моральному ущербу, он вправе требовать компенсации.
Обязанности субъекта
Хотя основной акцент делается на правах, субъект также несёт определённые обязанности, вытекающие из общего правового режима:
- Предоставлять достоверные данные при заключении договоров или получении услуг.
- Соблюдать требования оператора по подтверждению личности при реализации своих прав (например, предоставить паспортные данные для идентификации).
- Не злоупотреблять правами: например, не подавать заведомо ложные запросы или не отзывать согласие, если это нарушает обязательства по договору.
Категории субъектов персональных данных
Законодательство и правоприменительная практика выделяют несколько категорий субъектов, для которых могут устанавливаться особые правила обработки:
- Обычные субъекты — любые дееспособные граждане, чьи данные обрабатываются в общем порядке.
- Несовершеннолетние — для обработки данных лиц младше 14 лет требуется согласие законных представителей (родителей, опекунов). Для подростков от 14 до 18 лет — их собственное согласие, но с учётом ограничений дееспособности.
- Недееспособные и ограниченно дееспособные — данные обрабатываются с согласия опекунов или попечителей.
- Субъекты в трудовых отношениях — обработка данных работников регулируется Трудовым кодексом РФ (глава 14) и может осуществляться без отдельного согласия в рамках исполнения трудового договора.
- Субъекты, данные которых обрабатываются в государственных целях — например, для ведения воинского учёта, налогового контроля, уголовного судопроизводства. Здесь действуют специальные законы, частично ограничивающие права субъекта.
Основания обработки персональных данных
Обработка персональных данных допускается только при наличии одного из следующих оснований (статья 6 № 152-ФЗ):
- Согласие субъекта на обработку (в письменной или электронной форме, с обязательным указанием целей и перечня данных).
- Исполнение договора, стороной которого является субъект (например, договор купли-продажи, трудовой договор).
- Осуществление прав и законных интересов оператора или третьих лиц (например, взыскание долга).
- Выполнение обязанностей, возложенных на оператора законом (например, передача данных в налоговые органы, Пенсионный фонд РФ).
- Обработка в статистических или иных исследовательских целях при условии обезличивания данных.
- Обработка данных, сделанных общедоступными самим субъектом (например, публикация в социальных сетях).
- Обработка для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия невозможно.
Порядок реализации прав субъекта
Для реализации своих прав субъект должен направить оператору запрос в письменной или электронной форме. Форма запроса может быть свободной, но должна содержать:
- Фамилию, имя, отчество (при наличии) субъекта.
- Номер основного документа, удостоверяющего личность.
- Сведения о дате выдачи и органе, выдавшем документ.
- Информацию, подтверждающую участие субъекта в отношениях с оператором (например, номер договора, логин в системе).
- Подпись субъекта или его электронную подпись.
Оператор обязан рассмотреть запрос и предоставить ответ в установленные сроки. В случае отказа оператор должен обосновать его ссылкой на конкретные нормы закона.
Особенности обработки специальных категорий данных
Для отдельных категорий персональных данных установлены более строгие правила. К специальным категориям относятся:
- Данные о расовой и национальной принадлежности.
- Политические взгляды.
- Религиозные и философские убеждения.
- Состояние здоровья.
- Интимная жизнь.
Обработка таких данных допускается только с письменного согласия субъекта, за исключением случаев, прямо указанных в законе (например, для оказания медицинской помощи, проведения судебных разбирательств, в целях трудового законодательства — для оценки профпригодности).
Биометрические персональные данные
Биометрические данные (отпечатки пальцев, изображение лица, голос, радужная оболочка глаза и т.п.) обрабатываются с согласия субъекта, за исключением случаев, предусмотренных законом (например, для обеспечения безопасности в местах лишения свободы, при прохождении государственной границы). В России с 1 сентября 2024 года вступили в силу поправки, упрощающие сбор биометрии в коммерческих целях (например, в банках) при условии использования государственной Единой биометрической системы (ЕБС).
Ответственность за нарушение прав субъекта
Нарушение прав субъекта персональных данных влечёт административную, уголовную и гражданско-правовую ответственность. Основные меры:
- Административная ответственность (КоАП РФ, статья 13.11): штрафы для должностных лиц — от 10 000 до 100 000 рублей, для юридических лиц — от 60 000 до 1 000 000 рублей (в зависимости от состава правонарушения). За повторное нарушение штрафы могут достигать 6 000 000 рублей.
- Уголовная ответственность (статья 137 УК РФ): за незаконный сбор или распространение сведений о частной жизни — штраф до 200 000 рублей, обязательные работы или лишение свободы до 2 лет.
- Гражданско-правовая ответственность: возмещение убытков и компенсация морального вреда по иску субъекта.
Международный контекст
Понятие субъекта персональных данных является универсальным для большинства правовых систем. В Европейском союзе аналогичный статус закреплён в Общем регламенте по защите данных (GDPR), где субъект также обладает правом на доступ, исправление, удаление («право на забвение»), ограничение обработки, переносимость данных и возражение. Российское законодательство в целом гармонизировано с международными стандартами, но имеет национальные особенности, такие как обязательное уведомление Роскомнадзора о начале обработки и требование локализации баз данных на территории РФ.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 06.02.2023).
- Трудовой кодекс Российской Федерации (глава 14).
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Уголовный кодекс Российской Федерации (статья 137).
- Регламент Европейского парламента и Совета ЕС 2016/679 от 27.04.2016 (GDPR).
- Разъяснения Роскомнадзора по вопросам защиты прав субъектов персональных данных (официальный сайт).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →