Каким органам можно предоставлять персональные данные. Требования при передаче персональных данных третьим лицам. Категория, количество, тип угроз - уровень защиты

Закон о защите персональных данных создал бизнесу дополнительные риски. Фото предоставлено пресс-службой МШУ «Сколково»

Принятие «О персональных данных» стал головной болью для многих компаний, накладывая на них огромную ответственность. Как в такой ситуации быть тем, кому персональные данные жизненно необходимы для работы, - в частности, интернет-магазинам, - в материале «КС».

Рассматриваемая тема поднималась в начале мая на очередном заседании eCommerce-клуба «Сибирь». Анна Войцехович , патентный поверенный юридической компании «Гребнева и партнеры», чьей специализацией является интеллектуальная собственность, рассказала участникам встречи о том, как можно спокойно жить и работать с персональными данными в условиях сегодняшнего закручивания гаек. «КС» консолидировал тезисы ее выступления и попутно обратился и к другим экспертам в области права, предложив дать свои рекомендации бизнесу в этом отношении.

Кто хочет стать оператором

Что нужно сделать, чтобы Роскомнадзор включил вас в список операторов персональных данных (ПДн)? Да, собственно, почти ничего - достаточно завести на сайте личный кабинет, анкету для пользователя, кнопку обратного звонка, форму для объявления. Можно ли найти интернет-магазин, у которого нет ничего вышеперечисленного?

Если компания, занимающаяся торговлей через Интернет, попадает под это определение (а это почти 100%), ей нужно уведомить Роскомнадзор, причем желательно сделать это как можно скорее, лучше всего еще до того, как начать сбор персональных данных клиентов.

Что нужно запомнить в первую очередь

Во-первых, четкого определения того, что должно входить в перечень персональных данных, нет. Есть то, что Роскомнадзор может счесть таковыми, и вопрос каждый раз будет рассматриваться индивидуально. Если проследить текущую тенденцию судебных дел, персональными данными может быть сочтена следующая информация: фамилия, имя и отчество, дата и место рождения, домашний адрес, семейное, социальное и имущественное положение, образование и место работы. Очень важно: чтобы сведения признали персональными данными, необязательно собирать все, что перечислено выше, достаточно всего одного пункта.

«По факту персональными данными можно назвать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. То есть персональные данные - это любые сведения о человеке, по которым можно его идентифицировать, - подчеркнула Анна Войцехович. - Закон не содержит полного и исключительного перечня таких сведений. Никакой проверки того, что данные относятся к конкретному физическому лицу, закон не предусматривает. Даже если клиент ввел заведомо вымышленные данные, от обязанностей по обработке персональных данных это вас не освобождает».

Во-вторых, презумпции невиновности для подозреваемых здесь фактически нет. РКН не должен доказывать, что те или иные данные - персональные. «Есть основания полагать» - этого более чем достаточно. В свою очередь держатель информации должен дать как можно более убедительные подтверждения тому, что эта информация действительно необходима. Вот пример: интернет-магазин просит при регистрации указать день рождения - для чего? Самый очевидный ответ - чтобы предложить специальную скидку в день рождения или просто поздравить - проверяющих вряд ли устроит. Регулятор вправе потребовать предоставить документ, в котором прописана подобная программа лояльности. Не предоставили - все, сбор считается необоснованным. Говорите, что программа только разрабатывается, - то же самое. «Позиция Роскомнадзора очень проста - информация должна собираться с предельно конкретной целью, и у вас должно быть очень четкое объяснение, зачем вам нужна каждая ее деталь», - комментирует юрист.

Очень часто интернет-коммерсанты собирают все подряд «на всякий случай», не задумываясь о том, зачем нужны все эти сведения, - и это одна из самых распространенных ошибок. Абсолютное большинство персональных данных, которые просят магазины, им не нужны: нередки случаи, когда просят указать домашний адрес еще на этапе регистрации, иногда требуют ввести еще и паспортные данные. Их, кстати, по мнению Анны Войцехович, лучше не собирать вообще; единственная отрасль, которой эти сведения действительно необходимы, - это медицинская, и к ней РКН проявляет особое внимание.

В-третьих, не стоит ожидать того, что вас предупредят перед проверкой. Разумеется, контролирующий орган (в нашем случае РКН) обязан заранее прислать уведомление перед проверкой, если требуется посмотреть какие-то документы в офисе, содержимое сервера, компьютеров и так далее. Но в случае с персональными данными это, как показывает практика, попросту не нужно - по словам Анны Войцехович, в 95% случаев нарушения находятся прямо на сайте компании или магазина. И для того, чтобы их обнаружить, никакие предупреждения не нужны.

Законы, на которые опирается РКН

Нормативных правовых актов, на основании которых разбираются дела о хранении персональных данных, не так много. Чаще всего рассматривается закон 152-ФЗ «О персональных данных» , если речь идет об информации о клиентах, и 14-я статья Трудового кодекса, если субъект персональных данных - сотрудники самой компании. Нарушения данных законов относятся к Административному кодексу.

Телефон, e — mail , IP , cookies - спорные вопросы

Подходят ли под категорию персональных данных номер мобильного телефона и электронная почта? Однозначного ответа до сих пор нет. Позиция Роскомнадзора - да, являются, ведь SIM-карты продаются и регистрируются по паспорту, и если вбить в поисковик номер телефона, можно выудить персональную информацию о владельце. Позиция многих юристов - нет, не является, договор с оператором сотовой связи может быть заключен на другое физлицо, а почта может быть рабочей. Уже есть судебные решения: в Санкт-Петербурге суд признал персональными данными e-mail, в Липецке - номер телефона . Бывает, что определения суда включают в список персональных данных еще техпаспорт на дом, сведения о пересечении госграницы - и все эти дела становятся прецедентными. И с ними приходится жить.

Как показывает опыт, судебная и административная практика склоняются к тому, что номер мобильного телефона относится к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, использовать номер для рассылки по нему какой-либо информации).

Если интернет-магазин использует в качестве логина e-mail адрес - это уже сбор персональных данных

Логин и пароль, без которых интернет-коммерсантам, имеющим на своем продающем сайте личный кабинет, никак нельзя обойтись, к счастью, пока персональными данными не признаются. Анна Войцехович приводит цитату руководителя РКН Александра Жарова: «Сами по себе имена пользователей и пароли к учетным записям в сервисах электронной почты или в социальных сетях не являются персональными данными». Но если интернет-магазин использует в качестве логина e-mail адрес (не всегда, но такое тоже встречается) либо требует указать его для подтверждения регистрации (намного чаще) - это уже сбор персональных данных.

Являются ли персональными данными IP-адреса - вопрос во всех отношениях спорный. Арбитражный суд Челябинска в феврале 2016 года дал положительный ответ, за полгода до этого в Санкт-Петербурге суд сделал противоположный вывод. «По моему мнению, IP-адреса нельзя назвать персональными данными, поскольку они идентифицируют не физическое лицо, а компьютер, - высказывает свою точку зрения Анна Войцехович. - И чтобы понять, насколько эта техника ассоциируется с конкретным пользователем, нужно еще очень сильно постараться. В общем, из моей личной практики общения с правоохранительными органами, запросов и судов, я могу сделать вывод, IP-адрес не является персональными данными».

О фотографиях

Закон «О персональных данных», как уже говорилось, не содержит конкретного перечня ПДн, но выделяет несколько категорий: общие, по которым человека можно определить сразу, специальные, раскрывающие его лишь частично, и биометрические. Последние включают в себя не только отпечатки пальцев, но и, например, фотографии, по которым можно удостоверить личность человека. Анна Войцехович приводит пример из личного опыта: на фотографии с места происшествия в кадр попал случайный человек, и полиция, сочтя это биометрической информацией, изъяла снимки, выдав только протокол, без приложения.

Если фотография биометрическая, нужно обязательно взять разрешение на ее публикацию. И сделать это письменно. Если изображение используется в СМИ или рекламе (даже если по ней нельзя опознать человека) - согласие также обязательно. Даже если субъект позировал фотографу сам и получил за это деньги, это не означает автоматического согласия - все должно быть оговорено заранее.

Можно ли исключиться из списка оператора персональных данных?

Совсем исключить себя из списка операторов персональных данных интернет-магазину не удастся, но в ряде случаев можно не подавать уведомление в РКН. Уведомление можно не подавать в следующих случаях.

Если все субъекты ПДн - сотрудники самой компании.

Если персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более - распространяться. Такой прием используется коммерсантами часто, но по факту с нарушениями. Очень важно запомнить, что заключение договора (или хотя бы начало его оформления) должно произойти раньше обработки персональных данных клиента. В реальности же покупатель сначала регистрируется на сайте, потом выбирает покупку, и уже потом, возможно, что-то покупает. РКН при проверке обязательно обратит на это внимание.

Третий вариант - если человек сам опубликовал свои данные в общем доступе. Этот прием, вопреки утверждению многих юристов, вполне работоспособный, хотя и трудоемкий - подтверждение приходится делать по каждому субъекту. Сам Роскомнадзор смотрит на этот способ более лояльно, чем на предыдущий - в противном случае они бы просто не успевали обрабатывать все поступающие заявки.

О санкциях

С 1 июля 2017 года штрафы за нарушения работы с персональными данными увеличились. С этого момента КоАП (санкции за нарушения 152-ФЗ содержатся в основном в ст. 13.11) включает в себя семь правонарушений, шесть из которых могут затронуть интернет-коммерсантов.

За необоснованный сбор данных (например, номер паспорта, ИНН там, где они не нужны) - штраф до 50 тысяч рублей.

За сбор персональных данных без согласия владельца (нет письменного подтверждения) - до 75 тысяч рублей.

За непредоставление субъекту персональных данных информации о них (молчание в ответ на запрос) - до 40 тысяч рублей.

За невыполнение в срок требования субъекта ПДн или контролера (например, уничтожить или уточнить данные) - до 45 тысяч рублей.

За утечку персональных данных или несанкционированный допуск к ним (кроме тех случаев, когда работает уже уголовная статья) - до 50 тысяч рублей.

В случае особо тяжелых нарушений может быть задействован уже Уголовный кодекс, в частности, ст. («Нарушение неприкосновенности частной жизни») или ст. («Неправомерный доступ к компьютерной информации»). Здесь наказание может дойти и до лишения свободы на срок до четырех лет.

Анна Войцехович отмечает также, что решение о том, дать нарушителю время исправиться, оштрафовать сразу или, например, арестовать сервер, Роскомнадзор принимает на месте. Решение зависит в том числе от отрасли, в которой работает компания, к некоторым (например, к медицинским учреждениям) контролеры относятся строже, чем к остальным. Плюс нужно учесть, что приведенные выше штрафы выписываются за каждый установленный факт нарушения и в итоге суммируются. И, что самое печальное, если за одну проверку найдется более одного нарушения, Роскомнадзор имеет полное право закрыть сайт и изъять сервер - то есть парализовать работу всей компании как минимум на два месяца. «Зеркала» открывать бесполезно - РКН давно умеет их находить и закрывать, механизм уже отработан. Так будет хуже только самим нарушителям.

Алгоритм действий

Сооснователь и главный эксперт компании «Б-152» Максим Лагутин по просьбе «КС» дал несколько рекомендаций о том, как не попасть под нарушение федерального закона.

Во-первых, нужно письменно ответить на вопрос, какую информацию о пользователях вы собираете, каким образом она используется и кому передается. Все это должно быть внесено в текущие документы.

Во-вторых, нужно предупреждать всех обо всем: на сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных. Убедитесь, что политика в отношении обработки данных опубликована и доступна на сайте.

На сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных

В-третьих, важно собирать согласия на обработку персональных данных: нужно высылать ссылку для подтверждения на почту, СМС-код на мобильный телефон или сохранять IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие. Это может быть просто текст или поле для галочки «Нажимая на кнопку «Отправить сообщение», я даю свое согласие на обработку персональных данных». При этом текст «я даю свое согласие» должен быть ссылкой на текст самого согласия, который должен быть прочитан перед тем, как пользователь сможет дать согласие.

1. Пользовательское соглашение - договор присоединения, который принимается пользователем без оговорок в полном объеме. Документ позволяет заранее урегулировать возможные конфликты, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию. В ПС прописываются общие условия использования сайта, ответственность владельца сервиса, как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров.
2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин.
3. Политика конфиденциальности, которая описывает порядок обработки персональных данных. Она должна включать в себя перечень информации, которую собирает и обрабатывает сайт, цель сбора информации, требования к защите ПДн и случаи, когда они могут быть переданы третьим лицам. Обязательное условие - пользователь должен иметь возможность редактировать свои данные. Если проверяющий не найдет нужной формы - это уже нарушение. ПК утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Если условия ПК меняются, нужно не только уведомить пользователя об изменении, но и обязательно сохранять на сайте старые редакции Политики, на основании которых собирались персональные данные. Не сохранили - это уже нарушение.

Все три документа должны быть утверждены владельцем сайта и размещены в офисе компании или ином месте пребывания владельца сайта в бумажном виде. Плюс их нужно опубликовать на самом сайте и в мобильном приложении.

Положение о защите персональных данных должно тесно пересекаться с Политикой конфиденциальности, но не дублировать друг друга. Если Роскомнадзор во время проверки найдет в них противоречия (например, в одном документе какое-то условие оговорено, а в другом нет), документы будут признаны «не работающими».

«Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон. На самом деле на сайте персональные данные через разные формы собираются в разных целях - в одних случаях для осуществления рассылок, в других - для контакта с человеком, в третьих - для скачивания промоматериалов или заказа прайс-листа, - отмечает Максим Лагутин. - Цели разные, и согласия должны быть разные, в противном случае также возможно попасть на штраф на сумму до 50 тысяч рублей».

Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия

Отписка от рассылок и уведомлений должна работать четко и без сбоев, кнопки отписки должны находиться на видных местах. Если проверяющий не сможет их найти или хотя бы один человек пожалуется на то, что не смог отписаться (и таким образом магазин хранит его данные незаконно), - это уже нарушение.

Нужно выделить и указать на сайте отдельный e-mail адрес, по которому физическое лицо может обратиться с требованием об изменении, удалении его персональных данных и задать любые вопросы по ним. Желательно, чтобы это был не общий почтовый ящик типа [email protected], а выделенный специально для этого адрес.

Лучше всего как можно чаще информировать посетителей и клиентов о том, что их данные собираются и хранятся - в том числе и для маркетинговых исследований. Лишний раз сказать намного лучше, чем не сказать.

Если РКН готов начать проверку (а не просто мониторинг сайта), то, получив уведомление, нужно провести самоаудит: собрать нужные документы, оповестить сотрудников и постараться донести до проверяющих, что вы законопослушные операторы и добросовестно всех обо всем оповещаете.

Наконец, последний пункт, который тоже относится к закону о персональных данных - серверы с ними должны находиться на территории России.

ПРЯМАЯ РЕЧЬ

Антон Карасев, начальник отдела интернет-маркетинга группы компаний «ИТ-ГРАД»:

Компаниям, относящимся к интернет-магазинам или иным формам бизнеса, необходимо выполнять установленные требования регулятора и в первую очередь помнить о собственной ответственности. Чтобы избежать нарушений, необходимо проработать вопрос правильности составления политики обработки персональных данных и предусмотреть возможность взятия обязательного согласия на обработку ПДн. Если на сайте интернет-магазина присутствуют какие-либо формы сбора данных, под каждой из них необходимо разместить предложение о том, что субъект дает согласие на обработку персональных данных, и обязательно предусмотреть возможность принятия этого условия. Не стоит забывать и о прописанных условиях обработки ПДн, которые должны сопровождаться гиперссылкой на документ со страницы веб-сайта.

Дмитрий Коробицын, генеральный директор компании «Поставщик счастья»:

Мы серьезно относимся к подобным юридическим аспектам. Наши компания работает с интернет-магазинами, которых напрямую касается вопрос о персональных данных. Рекомендую каждой компании обратить внимание на опубликованные на своем сайте документы и, если нужно, оперативно внести в него правки.

Чтобы избежать штрафа по причине нарушения требований ФЗ «О персональных данных”, нужно разместить на сайте два документа. Первый — “Согласие субъекта на обработку персональных данных”. Это понятный документ, в котором фиксируется, что пользователь соглашается на обработку своих персональных данных. После указания своих данных (ФИО, почта и телефон) он ставит галочку о том, что он не против обработки данных, которые оставил на сайте. Там же, как правило, ему предлагается ознакомиться с полным текстом документа.

Второй документ — менее понятный, но необходимый — “Политика организации в отношении и обработки персональных данных”. Нет четкого объяснения, каким должен быть этот документ, что такое политика. В связи с этим юристы ИТ-компаний решили, что политикой может стать компиляция из ФЗ «О персональных данных» и некоторая информация из документа “Согласие на обработку персональных данных”.

Подписывайтесь на канал «Континент Сибирь» в Telegram , чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.

Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц - мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис - ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД - физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.

Косвенное упоминание о персональных данных есть в российской Конституции. Статьи 23–24 основного закона дают гражданам право на тайну частной жизни, ее неприкосновенность и защиту. Все, что входит в понятие персональные данные, принадлежит только их носителю и не может контролироваться правительством или 3-ми лицами. Граждане сами вольны распоряжаться этой информацией, препятствовать распространению или, наоборот, передавать ее другим. Государство, со своей стороны, гарантирует и защищает эту возможность.

ФЗ № 152 определяет, кто вправе использовать персональные данные кроме их носителя, на каких условиях, по каким правилам. Получать и обрабатывать личную информацию о субъекте могут только операторы с его разрешения. Гражданин подписывает согласие на проверку ПД при оформлении заявок на кредит, заполнении анкет или поступлении на работу.

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты - все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за

Нормам ФЗ № 152 должны следовать все юридические и частные лица. Особые правила применяются, когда ПД:

1. получают для личных или семейных нужд, если это не ущемляет права 3-х лиц;
2. содержатся в архивных документах;
3. составляют гостайну;
4. собираются по судебному акту.

Другие законодательные акты уточняют положения о ПД применительно к разным ситуациям, вводят систему и классификацию средств защиты. Например, гл.14 ТК РФ раскрывает понятие персональных данных работника. Это сведения, позволяющие охарактеризовать его как сотрудника определенной организации (размер зарплаты, стаж, квалификация, информация из ФНС и ПФР и др.), его деловые качества. Они должны использоваться и храниться для помощи работнику в выполнении его трудовых обязанностей, повышении опыта и знаний, продвижении по службе, для защиты персонала и имущества компании.

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

• обезличенные;
• общие;
• биометрические;
• специальные.

Общие персональные данные

Общие персональные данные - это основная информация о человеке. К ним относят:

Обработка персональных данных в организации

Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой

• место прописки и проживания;
• паспортные данные;
• образование;
• контактные данные;
• сведения о работе;
• размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными . Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД - обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой .

Биометрические ПД

Биометрические данные - это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

• адресные книжки;
• справочники;
• реестры;

Общедоступная информация, которая считается персональными данными, - это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data . Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Все интересующие вопросы можно задать в комментариях к статье

Являясь владельцем частного бизнеса, управленцем или просто юридически грамотным гражданином, нужно своевременно отслеживать законодательство РФ и его изменения. В последнее время такими актуальными проблемами стали нормы данных гражданина.

Понятие, объект и субъект

Личными данными считается какая-либо достоверная информация, которая имеет связь с сугубо конкретным человеком . К таким сведениям относятся:

• возраст, сведения о дате его рождения;
• город его рождения и регистрации;
• полученное образование;
• уровень заработной платы;
• семейное положение.

То есть это те сведения, которые позволяют без сомнения определиться с тем, о ком говорится.

Одно из важнейших требований норм закона – это конфиденциальность и неразглашение сведений 3-м лицам.

Субъект ПД – это то лицо, чьи данные используют. Сегодня нормы законов четко и жестко регламентируют, что можно, а что нельзя делать с ПД человека. Совершать действия можно только тогда, когда он не выступает против. Существует перечень встречающихся фактов , когда такое согласие обязательно должно писаться от руки. Например, использование сведений о национальности, предпочтении в политических взглядах, какие-либо факты о том, насколько здоров субъект и о его закрытой жизни.

Также подобного соглашения никто не уполномочен размещать ПД (персональные данные) в известные всем каналы, например, в интернет.

Что такое объект ПД? Это прежде всего:

• данные, характеризующие конкретную личность ;
• факты того, женат/замужем ли человек;
• факты, по которым можно опознать, а также сведения о предках и биографии;
• информация о болезнях и лечении.

Объекты персональной информации можно встретить в таких документах, как:

• паспорт гражданина либо какой-то другой ценный носитель удостоверения личности ;
• справки, содержащие сведения о полученных суммах с предыдущего предприятия;
• документы на ребенка, свидетельство о вступлении в брачные отношения;
• анкета, которую работодатели просят заполнить, приходя на собеседование;
• аттестат либо какой-то еще документ об образовании;
• трудовая книжка;
• военный билет;

Нюансы законодательства

Сфера вышеописанных вопросов основывается и регулируется Конституцией РФ , федеральным законодательством нашей страны и международными соглашениями РФ.

Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ регулирует данные отношения наиболее основательно.

Принципы:

Нацеленность на результат может быть самой различной. Среди них:

• трудоустройство гражданина на рабочее место;
• оказание медицинских услуг;
• устройство в детский сад, школу, лагерь;
• обеспечение безопасности работника.

Соблюдение законности также регулируется и Трудовым кодексом . Например, ч. 8 ст. 86 ТК РФ гласит, что Регламент о данных должны подписать все работники или их законные представители.

При этом как правило работодатель оформляет нужный журнал для сбора и сохранности подписей.

Оборот сведений

Сфера оборота ПД включается в себя множество операций, основные из которых рассмотрим ниже.

Предоставление информации – действия, согласно которым данные передают каким-либо другим лицам.

В настоящее время список организаций, которые запрашивают их, достаточно внушителен:

• школы;
• больницы;
• банки и другие кредитные учреждения;
• организации, в которые подается заявление на трудоустройство и многие другие.

Соблюдать закон должна абсолютно любая компания, в чьи руки попадают индивидуальные сведения о физлицах. Многие фирмы, например, продавая товары или услуги, собирают данные своих клиентов. Они обязаны четко действовать в этом отношении. ООО или ИП должны вносить изменение в бланках договорных документов как со своими работниками, так и с клиентами. Как вариант, разработать и прописать в договоре специальную форму согласия на обработку ПД.

Обработка – это приведение данных в соответствии с системой, процедура сбора, накопления, хранения и передачи, использования в соответствии с целями, удаления и других манипуляций со знаниями о физлице.

Совет! На сайте компании, где происходит оформление заказа, рекомендуется сделать обязательной отметку о персональных сведениях. Что клиент согласен их предоставить. А также то, что работники компании имеют право их передавать в курьерскую службу.

Стоит помнить, что какое-либо использование персональных данных может быть только добровольным, за исключением некоторых случаев, предусмотренных законом.

Регулирует вышеописанные отношения между субъектом и оператором (организация, которая собирает, обрабатывает, использует данные) Спецорган — Роскомнадзор. Периодически им проводятся плановые проверки в тех или иных организациях. Кроме Роскомнадзора отследить соблюдения фз может и Роструд. Грамотный руководитель не будет ждать очередного штрафа, а создаст у себя в организации на основе политику в отношении обработки ПД.

Она будет включать приказы , ознакомления, положения и акты для всех работников организации.

В Регламенте ПД могут, например, содержаться следующие аспекты:

1. Что именно в том или ином случае есть персональные данные;
2. Фактические сведения каких документов работодатель будет предоставлять в органы.
3. Кто из коллег будет иметь права работы с ПД. Соответственно кто будет отвечать за соблюдения всех актов и норм.
4. Какие применяются меры в вопросе сохранения и неразглашения.
5. Порядок передачи фактов о физическом лице внутри фирмы и третьим лицам.
6. Процедура уточнения информации по персональным данным, порядок их блокировки и удаления.

Особенности предоставления личных данных

В части 1 ст. 9 Закона № 152-ФЗ имеется ремарка, что согласиться гражданин может только в полном сознании и понимании того, что делает. Целью данного регламента является обеспечение права и свободы гражданина, в том числе на неприкосновенность частной жизни, а также семейные тайны.

Гражданин вправе отказаться в любое время от ранее данного согласия, если у него нет желания на их разглашение. Тем более, если такие сведения каким-то образом ущемляют его права и интересы. Сделать это можно, написав заявление в определенном формате. Оформить это нужно в двух экземплярах, один остается на руках с отметкой о вручении второго оператору.

Однако во многих организациях, в том числе и при трудоустройстве, использование данных о человеке является обязательным для заключения договорных отношений. При таком условии отказаться от предоставления нельзя.

Кроме соглашения на использование ПД необходимо получить положительное решение на передачу 3-м лицам.

Есть определенные исключения, когда лица могут передавать вышеописанные данные гражданина без его согласия. К таким случаям относится:

При этом кредитное учреждение, банковские работники, сотрудники страховых компаний в этот перечень не входит. Туда информация попадает с согласия от руки личности.

Ответственность за нарушения

За несоблюдение требований предусмотрена административная ответственность. Согласно статье 13.11 Кодекса РФ об административных правонарушениях наказание не такое уж и серьезное – предупреждение либо штраф в размере от 500 до 1 000 рублей (для гражданских лиц), в диапазоне 5 000 — 10 000 рублей (для юр. лиц). Такая относительно легкая ответственность несоизмерима со сложностью и громоздкостью самого документа. В настоящее время на рассмотрении находятся поправки к закону, согласно которым штрафы могут быть увеличены до 300000 рублей.

Наряду с такой легкой формой наказания в законе есть информация о возможности возбуждения уголовного дела в определенных случаях.

Закон принят - значит его нужно соблюдать, своевременно отслеживая поправки и изменения.

Подробнее о передаче персональных данных смотрите ниже на видео.

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Круг сведений о заработной плате

Понятие « » включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

С запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

Нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

Сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

Они стали известны работнику в связи с исполнением им трудовых обязанностей;

Уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных - законодательное регулирование

Отношения, связанные с обработкой персональных данных, регулируются:

• федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
• главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) - в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным - то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

1. из документов, предъявляемых при заключении трудового договора;
2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
4. от кадрового агентства, действующего от имени соискателя;
5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

• цели получения персональных данных работника у третьего лица;
• предполагаемые источники данных (у кого будет запрашиваться информация);
• способы получения данных, их характер;
• возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ - работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

• установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
• установить особый порядок выдачи пропусков и удостоверений работников;
• использовать технические средства охраны;
• использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства - целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее - обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

• даты выдачи и возврата документа,
• наименование документа,
• срок пользования,
• цель выдачи,
• Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе - при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

• на граждан - от 300 до 500 руб.;
• на должностных лиц - от 500 до 1000 руб.;
• на юридических лиц - от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• на граждан - от 500 до 1000 руб.;
• на должностных лиц - от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

• или штраф в сумме до 200 тыс. руб.,
• или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
• или обязательные работы на срок от 120 до 180 часов,
• или исправительные работы на срок до одного года,
• или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

• или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
• или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
• или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.