Что бывает за передачу персональных данных
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных
Предупреждение или административный штраф:
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных
Предупреждение или административный штраф:
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Предупреждение или административный штраф:
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)
Предупреждение или административный штраф:
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов
Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ
То же деяние, совершенное с использованием служебного положения
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий
Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан
Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование
Причинение лицу убытков в результате нарушения правил обработки его персональных данных.
Под убытками при этом понимаются:
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных
Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)
Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей
Иные нарушения в области персональных данных при их обработке
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Если не получить согласие на обработку и использование персональных данных
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Ответственность за нарушение законодательства
Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).
Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.
Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):
ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.
Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).
Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).
За соблюдением законодательных требований в области личной информации следит Роскомнадзор.
Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.
Когда согласие на обработку персональных данных не требуется
В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:
Итоги
Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.
Ответственность за передачу персональных данных третьим лицам
Закон о передаче персональных данных третьим лицам регулируется на федеральном уровне. В документально подтвержденном акте описывается правильная обработка имеющихся сведений, их сохранность и уничтожение, учитываются варианты возможного предоставления такого материала по запросу властей, его целевое использование. Отдельным пунктом объясняются случаи назначения денежных взысканий за открытие и распространение личных данных без разрешения.
Что такое «персональная информация»?
С 8 июля 2006 года в ФЗ был опубликован отредактированный документ о такого рода данных, где предоставлены актуальные определения правового акта, его структурное взаимодействие с другими законами. Последняя редакция его была проведена в 2017 году, начинался с общих положений, описывал условия возможной обработки информации, права граждан, обязанности операторов, надзор госструктур.
Передача третьим лицам персональных данных – что под этим подразумевается? Это любые сведения, напрямую или косвенно относящиеся к субъекту. Разглашение информации должно соответствовать определенным принципам, чтобы избежать возможных взысканий:
Конфиденциальность
При любом целевом сборе информации должно присутствовать согласие на передачу персональных данных третьим лицам. Без официального подписанного документа никто не имеет права проверять те или другие данные о личности. ФЗ предписывает сохранение полученных сведений, поэтому операторы и консультанты, имеющие доступ к данным, не имеют права их распространять без согласия субъекта. Анализ информации осуществляется только по письменному разрешению. При нарушении правил и принципов разглашения персональных данных, а также конфиденциальности имеющихся сведений о гражданине, на представителя накладывается ответственность определенного характера. Чаще всего штраф, а в редких исключительных случаях – более серьезное наказание.
Телефонный звонок
Передача третьим лицам персональных данных, а именно телефонного номера и сопутствующих сведений о его владельце, включая подробное описание финансового достатка и семейного положения, уровня образования, также считается нарушением закона.
Подобные случаи могут возникнуть, когда кредитные компании или фирмы, желающие заполучить новых клиентов, могут попросить дать информацию о знакомых, родственниках, которых может заинтересовать предлагаемая услуга. Многие, не подозревая ничего плохого, без сомнений выкладывают консультантам необходимые сведения о номерах телефонов, их владельцах, даже уровне заработка. На первый взгляд, обыденная информация, но обнародованная без согласия владельца может стать частью административного правонарушения – статья 13.11 КоАП РФ, за пренебрежение законом 152-ФЗ «О персональных данных». Чтобы не стать заложником неловкой ситуации, необходимо избегать передачи персональных данных третьим лицам без согласия.
Банковское дело
Чаще всего неосознанно передаются данные, под собой подразумевающие банковские сведения, изначально не предназначающиеся для огласки, что уже трактуются ч. 2 ст. 183 УК РФ «О незаконном разглашении сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца…». При получении кредита или, участвуя в каких-либо других финансовых сделках, необходимо согласие человека, чью кредитную историю планируется проверить. Иначе проверка данных не будет юридически правовой, и может создать угрозу интересам вкладчиков и кредиторов. Клиент банка не может, придя в соответствующий отдел или находясь на приеме у консультанта, «автоматически» давать согласие на систематизацию, сбор, распространение и передачу третьим лицам персональных данных. Для этого существует специальный документ – согласие, которое предоставляется на подпись, прежде чем отправить в базу какие-либо сведения клиента.
В случае, когда на документе стоит подпись, анализ персональных данных, а именно внесение информации в бюро кредитных историй о заемщике считается законной. После этого работает ст. 857 ГК РФ, по которой банк дает гарантию в сохранении тайны о банковском счете или вкладе, а также о других операциях по счету и иных сведениях. При несоблюдении правил и сопутствующем разглашении банком какой-либо информации – передаче третьим лицам персональных данных клиента, от кредитной организации можно потребовать возмещения понесенных убытков. Важно, чтобы такие спорные моменты были прописаны в договоре, иначе нет смысла обращаться в суд.
Ответственность за нарушение закона
Конкретные обстоятельства и уровень серьезности содеянного влекут за собой ответственность: административную или уголовную.
К административной относят:
Уголовная ответственность за передачу персональных данных третьим лицам представляет собой следующие нарушения и соответствующие им санкции:
Иные виды ответственности и сопутствующие санкции
Предусматривается и гражданско-правовой тип нарушения по передаче персональных данных третьим лицам, статья 15 ГК, когда причиняются убытки (расходы на восстановление нарушенного права, не полученные доходы) при обходе закона. Тогда санкцией является возмещение причиненного ущерба. При нанесении морального вреда по ст. 24 закона о персональных данных, ст. 151 ГК, также предусматривается его компенсация, причем чаще всего в денежном эквиваленте.
Дисциплинарный вид ответственности применяется к работникам предприятия, которые были уличены в разглашении и передаче персональных данных третьим лицам, статья 81 ч. 1, п. 6, подпункт «в» ТК, в результате чего предусмотрено увольнение. При иных нарушениях в данной области ст. 90 и 192 ТК предполагает выговор или замечание.
Защита личной информации
Чтобы не дать своим индивидуальным сведениям попасть в оборот обработки информации нежелательных личностей, стоит помнить, что на каждый подобный запрос необходимо подписывать лично документально подтвержденное согласие. Например, во многих финансовых организациях считают, что с заключением договора с клиентом, согласие гражданина на обработку его личной информации автоматически распространяется на последующую возможную передачу банками персональных данных третьим лицам – коллекторским агентствам. Если данного пункта нет в подписанном между клиентом и банком договоре, разглашение сведений о кредитополучателе представителям подобного рода компаний – незаконно. Важный аспект – быть внимательным при прочтении каждого договора, чтобы при нарушении любого из пунктов были основания для подачи иска в суд.
Работник и работодатель
В компании принято относить личные сведения к категории конфиденциальной информации, когда существует специальный режим работы и план защиты всех имеющихся данных о сотрудниках. Нередко конфликты на данную спорную тему возникают на предприятиях, где разглашение и передача персональных данных работника третьим лицам возможна только на основании письменного согласия. Сотрудники, которые по долгу своей службы получили и владеют данными коллег на законном основании, обязаны использовать их только по целевому назначению и ни в коем случае не разглашать информацию. Исключения могут определяться только федеральными законами.
Согласие
Образец передачи персональных данных третьим лицам, который будет размещен ниже, должен быть оформлен по всем правилам, согласно закону и положениям, отмеченным в правовых актах фирмы или предприятия. Существует негласная инструкция особых требований к составлению данного документа, который рекомендуется составлять в письменном виде:
На что подписываюсь?
При письменном оформлении заявления на передачу персональных данных третьим лицам информация следующего характера идет в обработку и может быть передана в дальнейшем:
Обойти запрет на передачу персональных данных третьим лицам можно, лишь имея на руках письменное согласие субъекта. Такое документальное подтверждение достаточно распространено и в частных учреждениях, и в муниципальных организациях, и является доказательством в споре, а также подтверждает законность передачи информации личного характера.
Исключительные права
Возможностью получения персональных данных о работнике обладают некоторые организации, которым данные сведения необходимы для выполнения своих функций:
Резиденты данной категории должны соблюдать режим секретности, целевое использование всей собранной информации, нести ответственность за передачу персональных данных третьим лицам. А при личном желании их обнародования и распространения.
Как у других?
В 21 веке практически все западные страны утвердили законы, которые предполагают регулирование сбора и обработки информации личного характера. Италия и Франция ввели запрет для нанимателей на сбор персональных сведений о работниках, если не идет речь о профессиональных качествах, требованиях к квалификации, что необходимо в трудовой деятельности. Другие страны также стараются ограничить повсеместную обработку данных личной направленности, а также сведений, связанных с расовой принадлежностью, политическими или религиозными взглядами, социальным статусом, сексуальными предпочтениями, членством в организациях, употреблением алкоголя, состоянии здоровья, имущественным положением.
Заграничные стандарты
В странах ближнего и дальнего зарубежья принято выделять два подхода к определению личных данных. В Нидерландах, Новой Зеландии и Швеции такими считаются любые сведения о конкретном лице, в Великобритании детализируют понятие, устанавливая критерии и категории. Англоговорящие соседи не допускают сбор информации о расовом происхождении, религиозных и политических взглядах, умственном здоровье, судимости и сексуальной ориентации. В Соединенных Штатах есть закон, запрещающий руководителям проводить расследование прошлого работников. Если предприниматель хочет узнать все о своем подчиненном, ему необходимо взять письменное разрешение от него.
В России данное понятие может варьироваться от принципов организации, но, по своей сути – это сведения, необходимые работодателю для установления трудовых отношений. Законодательно нет определенного перечня. Вид необходимой информации определяется нормативным актом компании в пределах федерального законодательства.
В ФЗ № 152 указывается, что в виде персональных сведений может выступать любая информация о конкретном человеке, включая его фамилию и инициалы, дата и место рождения, сведения о социальном статусе, семейном положении, уровне имущественного достатка, образования, фиксируемых доходах. В зависимости от цели обработки имеющихся данных перечень может быть расширен или видоизменен.
Каждый раз, когда приходится подписывать важные документы, необходимо обращать внимание на то, даете ли согласие на сбор и обработку сведений о себе, а также могут ли в последующем использовать и передавать третьим лицам персональные данные. В случае если имело место нарушение законодательства, причинение морального или материального ущерба в результате открытия информации личного характера, рекомендуется смело обращаться с иском в суд, по которому предусмотрены административные штрафы и другие санкции. Если нет документального подтверждения утечки информации, к сожалению, доказать нарушение закона будет трудно.