Когда оператор должен уведомлять власти об осуществлении обработки персональных данных?
Какие ведомства вправе проводить проверки операторов персональных данных?
Могут ли адвокаты, прокуроры, судебные приставы получать персональные данные?
Какова ответственность за нарушение закона о защите персональных данных?
Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27 сентября 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и принятые в соответствии с ним иные нормативные правовые акты. Действие законодательства о персональных данных распространяется на все государственные и муниципальные органы, юридические и физические лица, включая индивидуальных предпринимателей.
Персональные данные – любая информация, относящаяся прямо или косвенно к физлицу (субъекту персональных данных). Сюда, в частности, относятся фамилия, имя, отчество субъекта, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другие данные.
Любые действия или операции с персональными данными называются обработкой персональных данных. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.
Юридические и физические лица (в том числе индивидуальные предприниматели), государственные и муниципальные ведомства, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных (ст. 3 Закона № 152-ФЗ).
Наша справка
Конституцией установлено: каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (статьи 23 и 24)
Нанимая сотрудников, индивидуальный предприниматель получает персональные данные физлиц. Но, помимо сведений о работниках, в ходе деятельности ИП получает информацию о партнерах, клиентах. Все эти данные тоже подпадают под действие Закона №152-ФЗ. В частности, необходимость соблюдения мер по защите персональных данных относится к туроператорам, гостиницам, продавцам, реализующим свои товары дистанционным способом, которые при заключении договора запрашивают у потребителя информацию о его персональных данных (ст. 19 Закона № 152-ФЗ, п. 16 Правил продажи товаров дистанционным способом, утвержденных постановлением Правительства РФ от 27 сентября 2007 г. № 612), общественным, политическим и религиозным организациям, которые при приеме в свои ряды новых членов запрашивают их персональные данные, к операторам телефонных и интернет-услуг.
Обязанности оператора персональных данных
До начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и рекомендации по его заполнению утверждены приказом Роскомнадзора от 16 июля 2010 г. № 482.
В статье 22 Закона № 152-ФЗ приведен закрытый перечень случаев, когда направлять уведомление не нужно (таблица 1).
Таблица 1
Случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора
|
Случай |
|
|
Персональные данные обрабатываются в соответствии с трудовым законодательством |
|
|
Персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных |
|
|
Субъект персональных данных сделал данные общедоступными |
|
|
Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных |
|
|
Персональные данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях |
|
|
Персональные данные включены: – в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем; – в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка |
|
|
Персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных |
|
|
Персональные данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства |
|
|
Персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных |
Оператор обязан принимать меры по защите персональных данных, но при этом перечень таких мер он вправе определять самостоятельно. К ним, в частности, отнесены следующие меры: назначение ответственного лица, издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением, ознакомление своих работников с действующими нормативами в области защиты персональных данных и своими внутренними правилами. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (ст. 18.1 Закона № 152-ФЗ).
Оператор персональных данных обязан в течение 30 дней предоставить информацию о наличии у него персональных данных и предоставить возможность ознакомления с ними субъекту персональных данных, а также Роскомнадзору и его территориальным органам по соответствующим запросам (п. 1 и 4 ст. 20 Закона № 152-ФЗ).
Контроль за обработкой персональных данных
Контроль и надзор за обработкой персональных данных осуществляют несколько ведомств. Роскомнадзор в целом контролирует обработку персональных данных в соответствии с требованиями законодательства. Кроме того, ведомство ведет реестр операторов, осуществляющих обработку персональных данных.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ. Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. № 2202-1.
Требования и распоряжения ведомств, не уполномоченных осуществлять контроль и надзор в сфере защиты персональных данных, являются неправомерными. Федеральный арбитражный суд Северо-Кавказского округа в постановлении от 22 июля 2011 г. № А32-26161/2008 отметил, что налоговая инспекция, направив компании требование об отключении от системы электронного документооборота из-за нарушений законодательства о персональных данных, нарушила право фирмы на свободу предпринимательской деятельности. Инспекторы, допустив излишний административный контроль, вышли за пределы своей компетенции.
Согласие на обработку персональных данных
Обработка персональных данных осуществляется оператором с согласия субъекта персональных данных, за исключением отдельных случаев, которые рассмотрим позже.
Субъект персональных данных предоставляет информацию и дает свое согласие на ее обработку руководствуясь исключительно своей волей и своими интересами. Кстати, дать согласие на обработку персональных данных может и представитель субъекта персональных данных, но в этом случае обязательно должен быть документ, подтверждающий полномочия данного представителя давать согласие от имени субъекта (доверенность).
Согласие должно быть конкретным, информированным и сознательным, выражаться прямо, а не быть предположением. Так, в одном судебном деле оператор услуг телефонной связи был привлечен к административной ответственности за то, что в типовом договоре на оказание услуг междугородной и международной телефонной связи был определен только порядок предоставления данных услуг, но отсутствовало непосредственное указание о согласии или отказе абонента на доступ к указанным услугам и на предоставление сведений о нем третьим лицам (постановление Федерального арбитражного суда Северо-Западного округа от 13 мая 2009 г. № А66-17/2009).
Согласие дается в письменной форме и должно включать в себя определенные сведения, установленные статьей 9 Закона № 152-ФЗ (таблица 2).
Равнозначным согласию, содержащему собственноручную подпись субъекта, признается согласие, которое дано в форме электронного документа, подписанного электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ).
Обязанность предоставить доказательства согласия субъекта персональных данных на их обработку возлагается на оператора.
Таблица 2
Сведения, которые должны содержаться в согласии субъекта персональных данных на обработку информации
|
Сведения |
|
|
Фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе |
|
|
Фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных) |
|
|
Наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных |
|
|
Цель обработки персональных данных |
|
|
Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных |
|
|
Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу |
|
|
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных |
|
|
Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом |
|
|
Подпись субъекта персональных данных |
В некоторых случаях, названных в статье 6 Закона № 152-ФЗ, получать согласие от субъекта персональных данных необязательно (таблица 3).
Согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора. Так, суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив персональные данные должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (кассационное определение Омского областного суда от 10 ноября 2010 г. № 33-7056/2010). В постановлении Федерального арбитражного суда Восточно-Сибирского округа от 12 мая 2011 г. № А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних, является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.
Еще один случай – клиенты заказывают товары, работы или услуги, заполняя анкету на сайте в электронном виде, содержащей сведения о персональных данных. Отдельное согласие на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, то есть при обработке персональных данных письменное согласие считается полученным (постановление Федерального арбитражного суда Северо-Западного округа от 13 декабря 2010 г. № А56-73636/2009).
Согласие субъекта на обработку персональных данных в государственных информационных реестрах не требуется, если он первоначально сам направил туда сведения о себе. Федеральный арбитражный суд Московского округа в постановлении от 9 ноября 2007 г. № КГ-А40/11450-07 отметил, что, становясь акционером общества, сведения о котором содержатся в ЕГРЮЛ, лицо тем самым выражает свое согласие на использование его персональных данных в ЕГРЮЛ.
Некоторые сведения не относятся к информации, подпадающей под действие закона о защите персональных данных. Например, не является конфиденциальной информацией сведения о том, что гражданин не оплачивает коммунальные услуги. Подобная информация не относится к частной жизни этого лица и не является тайной, которую лицо, обладающее этой информацией, не вправе разглашать в силу своих профессиональных обязанностей (кассационное определение Пермского краевого суда от 5 октября 2010 г. № 33-8722). Кроме того, наличие персональных данных в материалах надзорного производства прокуратуры не является их обработкой, в связи с чем действия прокуратуры не могут быть признаны незаконными (кассационное определение Санкт-Петербургского городского суда от 8 декабря 2010 г. № 33-16601).
Таблица 3
Случаи обработки персональных данных, когда получать согласие субъекта персональных данных необязательно
|
Обработка персональных данных: |
|
|
необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей |
|
|
необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве |
|
|
необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг |
|
|
необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем |
|
|
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно |
|
|
необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных |
|
|
необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных |
|
|
осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона № 152-ФЗ, при условии обязательного обезличивания персональных данных |
|
|
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе |
|
|
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом |
Назовем еще несколько ситуаций по вопросу предоставления персональных данных на основе судебной практики.
Предоставление персональных данных без согласия субъекта допускается арбитражному управляющему. Он в силу статей 66 и 67 Федерального закона о банкротстве от 26 октября 2002 г. № 127-ФЗ вправе получать любую информацию и документы, касающиеся деятельности должника (постановление Федерального арбитражного суда Западно-Сибирского округа от 1 сентября 2010 г. № А70-13989/2009).
Не допускается представление персональных данных миграционной службой военному комиссару. Действия миграционной службы в части исполнения законодательства о воинской обязанности и военной службе носят самостоятельный характер и не предусматривают предоставление информации по лицам, уклоняющимся от воинской службы (решение Первореченского районного суда г. Владивостока от 26 января 2011 г. № 2-287/11).
Персональные данные не могут предоставляться Федеральной антимонопольной службе и Федеральной службе по финансовым рынкам. Данным ведомствам не предоставлено право запрашивать информацию о персональных данных (постановления Федерального арбитражного суда Уральского округа от 18 мая 2011 г. № Ф09-2525/11-С1, Федерального арбитражного суда Московского округа от 5 августа 2010 г. № КА-А40/8263-10).
Адвокаты не имеют права запрашивать у ведомств персональные сведения. Право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа ему такую информацию предоставить, не распространяется на установленные законом конфиденциальные сведения. Причем, непредставление адвокату конфиденциальной информации не препятствует реализации адвокатом права на оказание квалифицированной юридической помощи (постановление Федерального арбитражного суда Восточно-Сибирского округа от 18 декабря 2008 г. № А58-558/08-Ф02-6318/08, Определение Московского городского суда от 8 ноября 2010 г. № 33-31358).
Отдельного рассмотрения заслуживает вопрос о предоставлении персональных данных судебным приставам.
Предоставление персональных данных судебным приставам
До определенного времени суды единодушно указывали, что судебные приставы не имеют права на получение персональных данных. Арбитры исходили из следующего.
Согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Ни законом об исполнительном производстве (Федеральный закон от 2 октября 2007 г. № 229-ФЗ), ни законом о судебных приставах (Федеральный закон от 21 июля 1997 г. № 118-ФЗ) названные необходимые условия обработки персональных данных не установлены. В частности, названные законы не содержат перечень субъектов, персональные данные которых подлежат обработке. Соответственно, для предоставления персональных данных третьему лицу, оператору персональных данных необходимо письменное согласие субъекта (постановление Федерального арбитражного суда Поволжского округа от 19 июля 2011 № А12-23512/2010).
Федеральный закон от 25 июля 2011 г. № 261-ФЗ внес изменения в Закон № 152-ФЗ. В частности, статья 6 данного закона предусматривает обработку персональных данных для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве. И согласие субъекта в этих ситуациях не требуется.
Положения Федерального закона от 27 июля 2010 г. № 213-ФЗ о внесении изменений в закон о судебных приставах и статью 64 закона об исполнительном производстве предусматривают, что судебный пристав получает и обрабатывает персональные данные при условии, что они необходимы для своевременного, полного и правильного исполнения исполнительных документов, в объеме, необходимом для этого. Полученные судебным приставом-исполнителем в ходе принудительного исполнения судебных актов, актов других органов или должностных лиц персональные данные обрабатываются им исключительно в целях исполнения исполнительных документов в необходимом для этого объеме с учетом требований, установленных Законом о персональных данных.
Таким образом, в настоящее время закон предоставляет судебным приставам право запрашивать персональные данные у операторов и обрабатывать их, при этом судебный пристав в своем запросе должен указать, каким образом запрашиваемая им информация способствует выполнению исполнительных документов.
Смерть субъекта персональных данных
В случае смерти субъекта персональных данных, согласие на обработку его данных дают наследники, если такое согласие не было дано субъектом при его жизни (п. 7 ст. 9 Закона № 152-ФЗ). К форме и содержанию такого согласия применяются общие правила, установленные для согласия субъекта. При несоблюдении данного требования персональные данные не могут быть предоставлены. Так, организация приняла на себя обязательство изготовить из собственных материалов, доставить и установить, а заказчики (граждане, принявшие на себя обязанность увековечить память погибших) обязались принять надгробные памятники погибшим военнослужащим и ветеранам ВОВ. Организация обратилась в Пенсионный фонд за справкой о военнослужащих, подтверждающих их принадлежность к инвалидам ВОВ, и, получив отказ, обратилась в суд. Отказывая в удовлетворении требований организации, Федеральный арбитражный суд Волго-Вятского округа указал, что у фирмы отсутствовали законные основания для получения персональных данных (постановление от 27 февраля 2009 г. № А38-1119/2008-4-104). В другом деле суд признал неправомерными действия информационного агентства по распространению информации о самоубийстве несовершеннолетней девочки и ее персональных данных без согласия родных. Суд отклонил доводы агентства о том, что согласие не требовалось, поскольку правоспособность и представительство гражданина прекращены с момента его смерти, указав на необходимость обеспечения охраны личных прав гражданина и после его смерти (постановление Федерального арбитражного суда Восточно-Сибирского округа от 1 июля 2008 г. № А33-14182/07-Ф02-2899/08).
Ответственность за нарушение закона о персональных данных
За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или штрафа. Штрафы устанавливается в следующих размерах: для граждан от 300 до 500 руб.; для должностных лиц – от 500 до 1000 руб.; для юридических лиц – от 5 тыс. до 10 тыс. руб. (ст. 13.11 КоАП РФ).
Кроме того, сам субъект персональных данных, которому незаконными действиями оператора персональных данных, связанными с их распространением, причинен вред, вправе потребовать компенсации морального вреда или полного возмещения убытков (ст. 11, 12, 15, 152, гл. 59 ГК РФ).
В соответствии с ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Согласно ч. 2 ст. 24 Конституции РФ органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Из Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» следует, что для раскрытия третьим лицам персональных данных субъекта необходимо получить от него соответствующее письменное согласие, предусмотренное статьей 9 указанного Федерального закона.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"). Указом Президента РФ от 6 марта 1997 г. N 188 утвержден Перечень сведений конфиденциального характера. Согласно п. 1 Перечня к таким сведениям относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Статьей 6 Закона "О персональных данных" предусмотрены случаи, при которых согласие субъекта персональных данных на их обработку не требуется.
Закрепленное в ст. 6 Закона об адвокатской деятельности право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию не распространяются на установленные законом конфиденциальные сведения.
Следует отметить, что право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию не распространяются на установленные законом конфиденциальные сведения, Перечень которых утвержден Указом Президента РФ от 6 марта 1997 г. N 188 (Определение Верховного Суда РФ от 12.05.2010 N 49-В10-5).
Вместе с тем, сведения из дел о приеме в гражданство РФ, выдачи разрешения на временное проживание, вид на жительство содержит информацию, относимую к служебной тайне и в соответствии с п. 62 Приказа ФМС России от 08.11.2010 N 400 "По делопроизводству в системе ФМС России" относится к конфиденциальной информации.
В соответствии с действующим законодательством РФ лицо может получить любую персональную информацию о себе, если предоставление указанной информации не ограничено законом.
На основании изложенного, иностранный гражданин, лицо без гражданства может запрашивать всю информацию, содержащую его персональные данные самостоятельно.
В случае запроса информации, содержащей персональные данные иностранного гражданина представителем данного лица по доверенности, к запросу, доверенности и другим документам необходимо прикладывать согласие субъекта персональных данных на разглашение его персональных данных.
Специальная форма согласия не имеет установленной формы, вместе с тем она должна содержать следующую информацию.
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.
По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.
Хранение личных данных - законодательное регулирование
Отношения, связанные с обработкой персональных данных, регулируются:- федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
- главой 14 Трудового кодекса РФ.
Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным - то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.
Обработка персональных данных и их защита
Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.
Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.
Получение персональных данных
Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:
- из документов, предъявляемых при заключении трудового договора;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
- в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
- от кадрового агентства, действующего от имени соискателя;
- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
В уведомлении необходимо указать:
- цели получения персональных данных работника у третьего лица;
- предполагаемые источники данных (у кого будет запрашиваться информация);
- способы получения данных, их характер;
- возможные последствия отказа работодателю в получении информации у третьего лица.
Меры защиты персональных данных
Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:- установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
- установить особый порядок выдачи пропусков и удостоверений работников;
- использовать технические средства охраны;
- использовать программно-технический комплекс защиты информации на электронных носителях.
Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.
Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.
В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Следующее - обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.
Передача персональных данных
В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:- даты выдачи и возврата документа,
- наименование документа,
- срок пользования,
- цель выдачи,
- Ф.И.О. и должность лица, получившего документ с персональными данными работника.
Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе - при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.
Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.
Размер ответственности за нарушения
В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:- на граждан - от 300 до 500 руб.;
- на должностных лиц - от 500 до 1000 руб.;
- на юридических лиц - от 5000 до 10 000 руб.
В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- на граждан - от 500 до 1000 руб.;
- на должностных лиц - от 4000 до 5000 руб.
Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).
Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:
- или штраф в сумме до 200 тыс. руб.,
- или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
- или обязательные работы на срок от 120 до 180 часов,
- или исправительные работы на срок до одного года,
- или арест на срок до четырех месяцев.
- или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
- или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
- или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.
У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?
Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.
Форма обратной связи тоже попадает под действие закона?
Если в ней человек может ввести свои персональные данные - то да, попадает.
В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .
Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?
По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.
Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.
Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Ответственность на владельце
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.
А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.
Роскомнадзор узнает о нарушениях двумя способами:
- сам проведет проверку;
- отреагирует на чью-то жалобу.
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.
А если у нас сайт на английском?
Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.
Вот какие признаки используют, чтобы это понять:
- доменное имя связано с РФ или субъектом;
- есть русскоязычная версия сайта;
- расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
- потребители содержимого сайта - россияне;
- есть реклама на русском, которая ведет на этот сайт.
Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.
Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?
Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .
Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи фейсбука
По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.
Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства . В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:
- При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
- При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
- При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.
О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье
