Требования при передаче персональных данных третьим лицам. Понятие и виды персональных данных Кому можно предоставлять персональные данные
Обработка персональных данных без согласия субъекта возможна только в установленных законом случаях. Использование таких сведений с нарушением порядка или без соответствующих оснований влечет привлечение виновных к гражданской, трудовой, административной и уголовной ответственности.
В каких случаях допускается передача третьим лицам и иная обработка персональных сведений о субъекте?
Закон «О персональных данных» от 27.07.2006 № 152-ФЗ установил 2 варианта, при которых обработка личных сведений гражданина (субъекта) законна:
- При получении его согласия на это.
- Без получения согласия в случаях:
- использования информации иными людьми для личных и семейных нужд, если это не нарушает права гражданина;
- внесения персональной информации в базу Архивного фонда России;
- принятия решения об отнесении информации к государственной тайне (в данном случае согласия субъекта не требуется для засекречивания сведений о нем);
- необходимости использования сведений в целях осуществления Россией условий международных договоров и законов;
- участия лица в процессе судопроизводства и в связи с таковым участием;
- использования для исполнения судебного акта или положений документа, принятого органами исполнительного производства;
- получения лицом муниципальных или государственных услуг;
- признания человеком сведений о себе общедоступными;
- заключения и исполнения договора, в котором субъект выступает стороной или выгодоприобретателем;
- невозможности получения согласия при угрозе жизни, здоровью, важным интересам лица;
- реализации прав, обеспечения интересов оператора (обрабатывающего информацию лица) или третьих лиц, достижения общественно значимых целей;
- осуществления профессиональной деятельности журналистами и СМИ, творческой деятельности, когда это не нарушает права человека;
- использования обезличенных сведений о лице в исследовательских и статистических целях, за исключением политической агитации, продвижения товаров, услуг и работ на рынке;
- необходимости обязательного раскрытия, опубликования данных на основании указания закона (например, госслужащие обязаны раскрывать сведения о своих доходах).
Порядок обработки (хранения, распространения и т. п.) информации без получения одобрения субъекта
Общая процедура обработки операторами личных данных о гражданах без их специального разрешения выглядит следующим образом:
- Оператор при наличии законных оснований получает информацию. Извещать лицо о начале обработке его сведений не требуется, но в ряде случаев уведомление направляется в Роскомнадзор.
- Оператор осуществляет необходимые действия (собирает, записывает, передает, уточняет и т. д.). Как указано в ст. 5 закона № 152-ФЗ, действия пользователя ограничены целью обработки.
- После достижения целей или после прекращения необходимости использования данные уничтожаются или обезличиваются.
Дополнительным этапом может стать оспаривание физическим лицом правомерности использования информации о нем. Органом рассмотрения споров является (на выбор гражданина) суд или Роскомнадзор. В ходе разрешения конфликта оператором предъявляются доказательства наличия обстоятельств, позволяющих ему использовать данные без одобрения или вопреки запрету гражданина.
Ответственность оператора
В случае нарушения оператором процедуры и условий обработки персональной информации он может быть привлечен к различным видам ответственности:
Вид ответственности |
Пример нарушения |
Наказание |
Правовое основание |
Гражданская |
Причинение морального вреда |
Выплата компенсации |
Ст. 24 закона № 152-ФЗ, ст. 1099 ГК |
Дисциплинарная |
Разглашение персональных сведений о другом трудящемся |
Увольнение |
|
Нарушение законодательства при обработке информации |
Привлечение к дисциплинарной и материальной ответственности |
||
Административная |
Обработка сведений, противоречащая цели сбора данных |
|
Ч. 1 ст. 13.11 КоАП |
Уголовная |
Посягательство на неприкосновенность частной жизни |
Санкция альтернативная:
|
Ч. 1 ст. 137 УК |
Отказ или обман со стороны должностного лица при предоставлении гражданину информации о нем |
Штраф (200 000 руб. или доход за срок до полутора лет) либо лишение права заниматься определенной деятельностью в течение 2-5 лет |
||
Доступ к компьютерной информации без права на это |
Штраф (200 000 руб. или доход за срок до полутора лет), исправительные работы до года либо принудительные работы, ограничение или лишение свободы сроком до 2 лет |
Ч. 1 ст. 272 УК |
Таким образом, обработка информации без разрешения субъекта возможна, если оператору такое право предоставлено законодательно. Использование сведений при этом должно осуществляться в той мере, которая требуется для достижения целей оператора, после чего данные уничтожаются или обезличиваются. Лицо, считающее, что его персональные данные использованы незаконно, вправе обратиться в суд или Роскомнадзор.
Не знаете свои права?
Закон о защите персональных данных создал бизнесу дополнительные риски. Фото предоставлено пресс-службой МШУ «Сколково»
Принятие «О персональных данных» стал головной болью для многих компаний, накладывая на них огромную ответственность. Как в такой ситуации быть тем, кому персональные данные жизненно необходимы для работы, - в частности, интернет-магазинам, - в материале «КС».
Рассматриваемая тема поднималась в начале мая на очередном заседании eCommerce-клуба «Сибирь». Анна Войцехович , патентный поверенный юридической компании «Гребнева и партнеры», чьей специализацией является интеллектуальная собственность, рассказала участникам встречи о том, как можно спокойно жить и работать с персональными данными в условиях сегодняшнего закручивания гаек. «КС» консолидировал тезисы ее выступления и попутно обратился и к другим экспертам в области права, предложив дать свои рекомендации бизнесу в этом отношении.
Кто хочет стать оператором
Что нужно сделать, чтобы Роскомнадзор включил вас в список операторов персональных данных (ПДн)? Да, собственно, почти ничего - достаточно завести на сайте личный кабинет, анкету для пользователя, кнопку обратного звонка, форму для объявления. Можно ли найти интернет-магазин, у которого нет ничего вышеперечисленного?
Если компания, занимающаяся торговлей через Интернет, попадает под это определение (а это почти 100%), ей нужно уведомить Роскомнадзор, причем желательно сделать это как можно скорее, лучше всего еще до того, как начать сбор персональных данных клиентов.
Что нужно запомнить в первую очередь
Во-первых, четкого определения того, что должно входить в перечень персональных данных, нет. Есть то, что Роскомнадзор может счесть таковыми, и вопрос каждый раз будет рассматриваться индивидуально. Если проследить текущую тенденцию судебных дел, персональными данными может быть сочтена следующая информация: фамилия, имя и отчество, дата и место рождения, домашний адрес, семейное, социальное и имущественное положение, образование и место работы. Очень важно: чтобы сведения признали персональными данными, необязательно собирать все, что перечислено выше, достаточно всего одного пункта.
«По факту персональными данными можно назвать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. То есть персональные данные - это любые сведения о человеке, по которым можно его идентифицировать, - подчеркнула Анна Войцехович. - Закон не содержит полного и исключительного перечня таких сведений. Никакой проверки того, что данные относятся к конкретному физическому лицу, закон не предусматривает. Даже если клиент ввел заведомо вымышленные данные, от обязанностей по обработке персональных данных это вас не освобождает».
Во-вторых, презумпции невиновности для подозреваемых здесь фактически нет. РКН не должен доказывать, что те или иные данные - персональные. «Есть основания полагать» - этого более чем достаточно. В свою очередь держатель информации должен дать как можно более убедительные подтверждения тому, что эта информация действительно необходима. Вот пример: интернет-магазин просит при регистрации указать день рождения - для чего? Самый очевидный ответ - чтобы предложить специальную скидку в день рождения или просто поздравить - проверяющих вряд ли устроит. Регулятор вправе потребовать предоставить документ, в котором прописана подобная программа лояльности. Не предоставили - все, сбор считается необоснованным. Говорите, что программа только разрабатывается, - то же самое. «Позиция Роскомнадзора очень проста - информация должна собираться с предельно конкретной целью, и у вас должно быть очень четкое объяснение, зачем вам нужна каждая ее деталь», - комментирует юрист.
Очень часто интернет-коммерсанты собирают все подряд «на всякий случай», не задумываясь о том, зачем нужны все эти сведения, - и это одна из самых распространенных ошибок. Абсолютное большинство персональных данных, которые просят магазины, им не нужны: нередки случаи, когда просят указать домашний адрес еще на этапе регистрации, иногда требуют ввести еще и паспортные данные. Их, кстати, по мнению Анны Войцехович, лучше не собирать вообще; единственная отрасль, которой эти сведения действительно необходимы, - это медицинская, и к ней РКН проявляет особое внимание.
В-третьих, не стоит ожидать того, что вас предупредят перед проверкой. Разумеется, контролирующий орган (в нашем случае РКН) обязан заранее прислать уведомление перед проверкой, если требуется посмотреть какие-то документы в офисе, содержимое сервера, компьютеров и так далее. Но в случае с персональными данными это, как показывает практика, попросту не нужно - по словам Анны Войцехович, в 95% случаев нарушения находятся прямо на сайте компании или магазина. И для того, чтобы их обнаружить, никакие предупреждения не нужны.
Законы, на которые опирается РКН
Нормативных правовых актов, на основании которых разбираются дела о хранении персональных данных, не так много. Чаще всего рассматривается закон 152-ФЗ «О персональных данных» , если речь идет об информации о клиентах, и 14-я статья Трудового кодекса, если субъект персональных данных - сотрудники самой компании. Нарушения данных законов относятся к Административному кодексу.
Телефон, e — mail , IP , cookies - спорные вопросы
Подходят ли под категорию персональных данных номер мобильного телефона и электронная почта? Однозначного ответа до сих пор нет. Позиция Роскомнадзора - да, являются, ведь SIM-карты продаются и регистрируются по паспорту, и если вбить в поисковик номер телефона, можно выудить персональную информацию о владельце. Позиция многих юристов - нет, не является, договор с оператором сотовой связи может быть заключен на другое физлицо, а почта может быть рабочей. Уже есть судебные решения: в Санкт-Петербурге суд признал персональными данными e-mail, в Липецке - номер телефона . Бывает, что определения суда включают в список персональных данных еще техпаспорт на дом, сведения о пересечении госграницы - и все эти дела становятся прецедентными. И с ними приходится жить.
Как показывает опыт, судебная и административная практика склоняются к тому, что номер мобильного телефона относится к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, использовать номер для рассылки по нему какой-либо информации).
Если интернет-магазин использует в качестве логина e-mail адрес - это уже сбор персональных данных
Логин и пароль, без которых интернет-коммерсантам, имеющим на своем продающем сайте личный кабинет, никак нельзя обойтись, к счастью, пока персональными данными не признаются. Анна Войцехович приводит цитату руководителя РКН Александра Жарова: «Сами по себе имена пользователей и пароли к учетным записям в сервисах электронной почты или в социальных сетях не являются персональными данными». Но если интернет-магазин использует в качестве логина e-mail адрес (не всегда, но такое тоже встречается) либо требует указать его для подтверждения регистрации (намного чаще) - это уже сбор персональных данных.
Являются ли персональными данными IP-адреса - вопрос во всех отношениях спорный. Арбитражный суд Челябинска в феврале 2016 года дал положительный ответ, за полгода до этого в Санкт-Петербурге суд сделал противоположный вывод. «По моему мнению, IP-адреса нельзя назвать персональными данными, поскольку они идентифицируют не физическое лицо, а компьютер, - высказывает свою точку зрения Анна Войцехович. - И чтобы понять, насколько эта техника ассоциируется с конкретным пользователем, нужно еще очень сильно постараться. В общем, из моей личной практики общения с правоохранительными органами, запросов и судов, я могу сделать вывод, IP-адрес не является персональными данными».
О фотографиях
Закон «О персональных данных», как уже говорилось, не содержит конкретного перечня ПДн, но выделяет несколько категорий: общие, по которым человека можно определить сразу, специальные, раскрывающие его лишь частично, и биометрические. Последние включают в себя не только отпечатки пальцев, но и, например, фотографии, по которым можно удостоверить личность человека. Анна Войцехович приводит пример из личного опыта: на фотографии с места происшествия в кадр попал случайный человек, и полиция, сочтя это биометрической информацией, изъяла снимки, выдав только протокол, без приложения.
Если фотография биометрическая, нужно обязательно взять разрешение на ее публикацию. И сделать это письменно. Если изображение используется в СМИ или рекламе (даже если по ней нельзя опознать человека) - согласие также обязательно. Даже если субъект позировал фотографу сам и получил за это деньги, это не означает автоматического согласия - все должно быть оговорено заранее.
Можно ли исключиться из списка оператора персональных данных?
Совсем исключить себя из списка операторов персональных данных интернет-магазину не удастся, но в ряде случаев можно не подавать уведомление в РКН. Уведомление можно не подавать в следующих случаях.
Если все субъекты ПДн - сотрудники самой компании.
Если персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться. Такой прием используется коммерсантами часто, но по факту с нарушениями. Очень важно запомнить, что заключение договора (или хотя бы начало его оформления) должно произойти раньше обработки персональных данных клиента. В реальности же покупатель сначала регистрируется на сайте, потом выбирает покупку, и уже потом, возможно, что-то покупает. РКН при проверке обязательно обратит на это внимание.
Третий вариант - если человек сам опубликовал свои данные в общем доступе. Этот прием, вопреки утверждению многих юристов, вполне работоспособный, хотя и трудоемкий - подтверждение приходится делать по каждому субъекту. Сам Роскомнадзор смотрит на этот способ более лояльно, чем на предыдущий - в противном случае они бы просто не успевали обрабатывать все поступающие заявки.
О санкциях
С 1 июля 2017 года штрафы за нарушения работы с персональными данными увеличились. С этого момента КоАП (санкции за нарушения 152-ФЗ содержатся в основном в ст. 13.11) включает в себя семь правонарушений, шесть из которых могут затронуть интернет-коммерсантов.
За необоснованный сбор данных (например, номер паспорта, ИНН там, где они не нужны) - штраф до 50 тысяч рублей.
За сбор персональных данных без согласия владельца (нет письменного подтверждения) - до 75 тысяч рублей.
За непредоставление субъекту персональных данных информации о них (молчание в ответ на запрос) - до 40 тысяч рублей.
За невыполнение в срок требования субъекта ПДн или контролера (например, уничтожить или уточнить данные) - до 45 тысяч рублей.
За утечку персональных данных или несанкционированный допуск к ним (кроме тех случаев, когда работает уже уголовная статья) - до 50 тысяч рублей.
В случае особо тяжелых нарушений может быть задействован уже Уголовный кодекс, в частности, ст. («Нарушение неприкосновенности частной жизни») или ст. («Неправомерный доступ к компьютерной информации»). Здесь наказание может дойти и до лишения свободы на срок до четырех лет.
Анна Войцехович отмечает также, что решение о том, дать нарушителю время исправиться, оштрафовать сразу или, например, арестовать сервер, Роскомнадзор принимает на месте. Решение зависит в том числе от отрасли, в которой работает компания, к некоторым (например, к медицинским учреждениям) контролеры относятся строже, чем к остальным. Плюс нужно учесть, что приведенные выше штрафы выписываются за каждый установленный факт нарушения и в итоге суммируются. И, что самое печальное, если за одну проверку найдется более одного нарушения, Роскомнадзор имеет полное право закрыть сайт и изъять сервер - то есть парализовать работу всей компании как минимум на два месяца. «Зеркала» открывать бесполезно - РКН давно умеет их находить и закрывать, механизм уже отработан. Так будет хуже только самим нарушителям.
Алгоритм действий
Сооснователь и главный эксперт компании «Б-152» Максим Лагутин по просьбе «КС» дал несколько рекомендаций о том, как не попасть под нарушение федерального закона.
Во-первых, нужно письменно ответить на вопрос, какую информацию о пользователях вы собираете, каким образом она используется и кому передается. Все это должно быть внесено в текущие документы.
Во-вторых, нужно предупреждать всех обо всем: на сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных. Убедитесь, что политика в отношении обработки данных опубликована и доступна на сайте.
На сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных
В-третьих, важно собирать согласия на обработку персональных данных: нужно высылать ссылку для подтверждения на почту, СМС-код на мобильный телефон или сохранять IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие. Это может быть просто текст или поле для галочки «Нажимая на кнопку «Отправить сообщение», я даю свое согласие на обработку персональных данных». При этом текст «я даю свое согласие» должен быть ссылкой на текст самого согласия, который должен быть прочитан перед тем, как пользователь сможет дать согласие.
- Пользовательское соглашение - договор присоединения, который принимается пользователем без оговорок в полном объеме. Документ позволяет заранее урегулировать возможные конфликты, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию. В ПС прописываются общие условия использования сайта, ответственность владельца сервиса, как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров.
- Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин.
- Политика конфиденциальности, которая описывает порядок обработки персональных данных. Она должна включать в себя перечень информации, которую собирает и обрабатывает сайт, цель сбора информации, требования к защите ПДн и случаи, когда они могут быть переданы третьим лицам. Обязательное условие - пользователь должен иметь возможность редактировать свои данные. Если проверяющий не найдет нужной формы - это уже нарушение. ПК утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Если условия ПК меняются, нужно не только уведомить пользователя об изменении, но и обязательно сохранять на сайте старые редакции Политики, на основании которых собирались персональные данные. Не сохранили - это уже нарушение.
Все три документа должны быть утверждены владельцем сайта и размещены в офисе компании или ином месте пребывания владельца сайта в бумажном виде. Плюс их нужно опубликовать на самом сайте и в мобильном приложении.
Положение о защите персональных данных должно тесно пересекаться с Политикой конфиденциальности, но не дублировать друг друга. Если Роскомнадзор во время проверки найдет в них противоречия (например, в одном документе какое-то условие оговорено, а в другом нет), документы будут признаны «не работающими».
«Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон. На самом деле на сайте персональные данные через разные формы собираются в разных целях - в одних случаях для осуществления рассылок, в других - для контакта с человеком, в третьих - для скачивания промоматериалов или заказа прайс-листа, - отмечает Максим Лагутин. - Цели разные, и согласия должны быть разные, в противном случае также возможно попасть на штраф на сумму до 50 тысяч рублей».
Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия
Отписка от рассылок и уведомлений должна работать четко и без сбоев, кнопки отписки должны находиться на видных местах. Если проверяющий не сможет их найти или хотя бы один человек пожалуется на то, что не смог отписаться (и таким образом магазин хранит его данные незаконно), - это уже нарушение.
Нужно выделить и указать на сайте отдельный e-mail адрес, по которому физическое лицо может обратиться с требованием об изменении, удалении его персональных данных и задать любые вопросы по ним. Желательно, чтобы это был не общий почтовый ящик типа [email protected], а выделенный специально для этого адрес.
Лучше всего как можно чаще информировать посетителей и клиентов о том, что их данные собираются и хранятся - в том числе и для маркетинговых исследований. Лишний раз сказать намного лучше, чем не сказать.
Если РКН готов начать проверку (а не просто мониторинг сайта), то, получив уведомление, нужно провести самоаудит: собрать нужные документы, оповестить сотрудников и постараться донести до проверяющих, что вы законопослушные операторы и добросовестно всех обо всем оповещаете.
Наконец, последний пункт, который тоже относится к закону о персональных данных - серверы с ними должны находиться на территории России.
ПРЯМАЯ РЕЧЬ
Антон Карасев, начальник отдела интернет-маркетинга группы компаний «ИТ-ГРАД»:
Компаниям, относящимся к интернет-магазинам или иным формам бизнеса, необходимо выполнять установленные требования регулятора и в первую очередь помнить о собственной ответственности. Чтобы избежать нарушений, необходимо проработать вопрос правильности составления политики обработки персональных данных и предусмотреть возможность взятия обязательного согласия на обработку ПДн. Если на сайте интернет-магазина присутствуют какие-либо формы сбора данных, под каждой из них необходимо разместить предложение о том, что субъект дает согласие на обработку персональных данных, и обязательно предусмотреть возможность принятия этого условия. Не стоит забывать и о прописанных условиях обработки ПДн, которые должны сопровождаться гиперссылкой на документ со страницы веб-сайта.
Дмитрий Коробицын, генеральный директор компании «Поставщик счастья»:
Мы серьезно относимся к подобным юридическим аспектам. Наши компания работает с интернет-магазинами, которых напрямую касается вопрос о персональных данных. Рекомендую каждой компании обратить внимание на опубликованные на своем сайте документы и, если нужно, оперативно внести в него правки.
Чтобы избежать штрафа по причине нарушения требований ФЗ «О персональных данных”, нужно разместить на сайте два документа. Первый — “Согласие субъекта на обработку персональных данных”. Это понятный документ, в котором фиксируется, что пользователь соглашается на обработку своих персональных данных. После указания своих данных (ФИО, почта и телефон) он ставит галочку о том, что он не против обработки данных, которые оставил на сайте. Там же, как правило, ему предлагается ознакомиться с полным текстом документа.
Второй документ — менее понятный, но необходимый — “Политика организации в отношении и обработки персональных данных”. Нет четкого объяснения, каким должен быть этот документ, что такое политика. В связи с этим юристы ИТ-компаний решили, что политикой может стать компиляция из ФЗ «О персональных данных» и некоторая информация из документа “Согласие на обработку персональных данных”.
Подписывайтесь на канал «Континент Сибирь» в Telegram , чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.
Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter
Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.
По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.
Хранение личных данных - законодательное регулирование
Отношения, связанные с обработкой персональных данных, регулируются:- федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
- главой 14 Трудового кодекса РФ.
Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным - то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.
Обработка персональных данных и их защита
Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.
Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.
Получение персональных данных
Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:
- из документов, предъявляемых при заключении трудового договора;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
- в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
- от кадрового агентства, действующего от имени соискателя;
- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
В уведомлении необходимо указать:
- цели получения персональных данных работника у третьего лица;
- предполагаемые источники данных (у кого будет запрашиваться информация);
- способы получения данных, их характер;
- возможные последствия отказа работодателю в получении информации у третьего лица.
Меры защиты персональных данных
Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:- установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
- установить особый порядок выдачи пропусков и удостоверений работников;
- использовать технические средства охраны;
- использовать программно-технический комплекс защиты информации на электронных носителях.
Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.
Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.
В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Следующее - обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.
Передача персональных данных
В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:- даты выдачи и возврата документа,
- наименование документа,
- срок пользования,
- цель выдачи,
- Ф.И.О. и должность лица, получившего документ с персональными данными работника.
Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе - при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.
Размер ответственности за нарушения
В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:- на граждан - от 300 до 500 руб.;
- на должностных лиц - от 500 до 1000 руб.;
- на юридических лиц - от 5000 до 10 000 руб.
В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- на граждан - от 500 до 1000 руб.;
- на должностных лиц - от 4000 до 5000 руб.
Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).
Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:
- или штраф в сумме до 200 тыс. руб.,
- или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
- или обязательные работы на срок от 120 до 180 часов,
- или исправительные работы на срок до одного года,
- или арест на срок до четырех месяцев.
- или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
- или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
- или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.
Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:
- При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
- При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
- При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.
О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье