Открыть сервис

Субъект персональных данных

Субъект персональных данных — это физическое лицо, к которому относятся конкретные персональные данные, и которое может быть прямо или косвенно идентифицировано на основании этих данных. Понятие является ключевым в законодательстве о защите информации, в том числе в Федеральном законе РФ «О персональных данных» № 152-ФЗ, и определяет права, обязанности и механизмы взаимодействия между гражданином и операторами, обрабатывающими его информацию.

Правовой статус субъекта персональных данных

Субъект персональных данных занимает центральное место в системе правового регулирования обработки информации. Законодательство исходит из принципа, что любые действия с данными человека должны осуществляться с его согласия или на иных законных основаниях, при этом субъект наделён набором прав, позволяющих контролировать использование своей информации.

Основные права субъекта

Права субъекта персональных данных закреплены в главе 3 Федерального закона № 152-ФЗ и включают:

Обязанности субъекта

Хотя основной акцент делается на правах, субъект также несёт определённые обязанности, вытекающие из общего правового режима:

Категории субъектов персональных данных

Законодательство и правоприменительная практика выделяют несколько категорий субъектов, для которых могут устанавливаться особые правила обработки:

Основания обработки персональных данных

Обработка персональных данных допускается только при наличии одного из следующих оснований (статья 6 № 152-ФЗ):

Порядок реализации прав субъекта

Для реализации своих прав субъект должен направить оператору запрос в письменной или электронной форме. Форма запроса может быть свободной, но должна содержать:

Оператор обязан рассмотреть запрос и предоставить ответ в установленные сроки. В случае отказа оператор должен обосновать его ссылкой на конкретные нормы закона.

Особенности обработки специальных категорий данных

Для отдельных категорий персональных данных установлены более строгие правила. К специальным категориям относятся:

Обработка таких данных допускается только с письменного согласия субъекта, за исключением случаев, прямо указанных в законе (например, для оказания медицинской помощи, проведения судебных разбирательств, в целях трудового законодательства — для оценки профпригодности).

Биометрические персональные данные

Биометрические данные (отпечатки пальцев, изображение лица, голос, радужная оболочка глаза и т.п.) обрабатываются с согласия субъекта, за исключением случаев, предусмотренных законом (например, для обеспечения безопасности в местах лишения свободы, при прохождении государственной границы). В России с 1 сентября 2024 года вступили в силу поправки, упрощающие сбор биометрии в коммерческих целях (например, в банках) при условии использования государственной Единой биометрической системы (ЕБС).

Ответственность за нарушение прав субъекта

Нарушение прав субъекта персональных данных влечёт административную, уголовную и гражданско-правовую ответственность. Основные меры:

Международный контекст

Понятие субъекта персональных данных является универсальным для большинства правовых систем. В Европейском союзе аналогичный статус закреплён в Общем регламенте по защите данных (GDPR), где субъект также обладает правом на доступ, исправление, удаление («право на забвение»), ограничение обработки, переносимость данных и возражение. Российское законодательство в целом гармонизировано с международными стандартами, но имеет национальные особенности, такие как обязательное уведомление Роскомнадзора о начале обработки и требование локализации баз данных на территории РФ.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →