Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
3.1. Информация может передаваться в устной, электронной и письменной форме (в виде документов). Сторона обязуется рассматривать в качестве Конфиденциальной информацию, которая будет предоставлена другой Стороной при соблюдении следующих условий:
- Конфиденциальная Информация предоставляется в письменной форме (в виде документов) или на электронном носителе, такая информация или ее носитель должны содержать гриф ‘Конфиденциально’ или “Коммерческая тайна”;
- Конфиденциальная Информация предоставляется визуально, устно или другим бездокументарным методом, она должна быть ясно определена Стороной как конфиденциальная.
7.1. Соглашение распространяет свое действие на любой договор или соглашение, заключенные между Сторонами, если Стороны в таком договоре или соглашении не оговорили иное. Все приложения, изменения и дополнения к настоящему Соглашению являются его неотъемлемой частью и действительны при условии, если они совершены в письменной форме и подписаны надлежащим образом уполномоченными на то представителями Сторон.
7.2. Ни одна из сторон по Соглашению не вправе передавать или иным образом уступать свои права и обязанности по Соглашению любым третьим лицам без письменного согласия на это другой стороны.
7.3. Права и обязанности Сторон по Соглашению в случае реорганизации какой-либо из Сторон переходят к соответствующему правопреемнику (правопреемникам). В случае ликвидации какой-либо Стороны, до завершения ликвидации она должна обеспечить возврат Передающей Стороне всех оригиналов и уничтожение всех и любых копий Носителей информации, переданных Передающей Стороной, в соответствии с п. 4.8. Соглашения.
7.4. Соглашение вступает в силу с момента его подписания Сторонами и действует в течение 3 (трех) лет после выполнения Сторонами своих обязательств, вытекающих из всех заключённых между Сторонами договоров и (или) соглашений, если Стороны в таких договорах и (или) соглашениях не оговорили иное.
7.5. Окончание срока действия или расторжение Соглашения не освобождают Получающую Сторону от исполнения обязательств по соблюдению условий раздела 4. и п.п. 5.2.Соглашения в отношении Конфиденциальной информации, полученной до окончания срока действия или расторжения Соглашения.
7.6. Все приложения, изменения и дополнения к настоящему Соглашению являются его неотъемлемой частью и действительны при условии, если они совершены в письменной форме и подписаны надлежащим образом уполномоченными на то представителями Сторон.
7.7. Во всем остальном, что не предусмотрено настоящим Договором, Стороны руководствуются действующим законодательством Российской Федерации.
Разглашение и распространение персональных данных без согласия субъекта
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.
Персональные данные или нет?
Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:
- фамилия, имя, отчество;
- пол;
- возраст;
- место жительства;
- изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
- образование, квалификация, профессиональная подготовка;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
- деловые и иные личные качества;
- медицинские сведения;
- номер телефона;
- прочие сведения, которые могут идентифицировать работника.
Что такое передача данных третьим лицам
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Что относится к персональным данным?
Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.
Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:
Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.
Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Можно ли сообщать персональные данные близким родственникам работника?
Нужно или не нужно согласие работника на передачу его ПД, например сведений о зарплате, его близким родственникам – законодательно не определено.
В Разъяснениях Роскомнадзора говорится только о том, нужно ли работодателю запрашивать согласие у самих родственников в необходимых случаях. В частности, поясняется, что допускается обработка персональных данных близких родственников работника без их согласия:
-
в объеме, предусмотренном личной карточкой по унифицированной форме Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
-
в случаях, установленных законодательством РФ, – получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат.
Оператор персональных данных — кто является оператором ПДн по ФЗ 152
Знание законодательной базы для того, кто намерен осуществлять обработку ПДн в рамках своей деятельности, является обязательным, и главным нормативно-правовым актом является Федеральный Закон № 152, принятый в 2006 году.
Он регулирует взаимоотношения владельцев личной информации и тех, кто использует эти сведения для коммерческих и иных целей.
Детальный анализ ФЗ позволит разобраться, кто признается оператором персональных данных, какие у него права и обязанности, может ли быть обработчиком поручитель, какие требования предъявляются к тем, кто собирает, хранит, копирует, распространяет, уничтожает и блокирует сведения. Особого внимания заслуживает вопрос необходимости исполнения закона о ПДн в полном объеме, например, в отдельных случаях нет необходимости отправлять уведомление Роскомнадзору об осуществлении обработки информации.
Ответственность за передачу персональных данных третьим лицам
За незаконную передачу персональных данных законодательство предусматривает различные виды ответственности. В первую очередь, если эти сведения были разглашены одним из сотрудников предприятия, работодатель вправе привлечь его к дисциплинарной ответственности в установленном законом порядке. А именно — объявить замечание или выговор либо произвести увольнение, так как незаконное разглашение персональной информации относится к грубым дисциплинарным проступкам.
Административная ответственность может быть наложена на физическое лицо, а также на должностное лицо или на юридическое лицо в целом. В зависимости от характера проступка и вины в нем, размер санкций может варьироваться от предупреждения до 75 тыс. рублей административного штрафа.
Передавать данные можно всем, кто их запрашивает в рамках заключения договора (в том числе трудового) или другой деятельности.
Наиболее часто мы передаем данные банку, страховщику, лизинговой компании и другим коммерческим организациям, с которыми оформляем письменный договор. Защита информации о вкладах, кредитах и других договорах клиента очень важна, так как любая утечка может привести к взлому карточного или другого счета либо нарушить банковскую тайну клиента.
По законодательству вся информация об операциях клиента банка должна храниться на электронных носителях не менее пяти лет. В случае отзыва у банка лицензии, электронные носители должны быть переданы в Банк России. Защищаются только данные физлиц, поскольку на компании действие закона не распространяется.
Данные клиентов хранятся в системе Клиент-Банк, перевода денег, а также на сайте компании и других ресурсах. Для защиты сведений в банковских и других структурах используются самые разные технические и организационные меры, например, подсистемы контроля доступа, регистрации, межсетевой безопасности, антивирусные меры, средства для обнаружения вторжений. Операторы шифруют свои архивы, документы, каналы связи и используют пакетную коммутацию MPLS.
Источник получения персональных данных
Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.
Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.
Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.
Работа с персональными данными
Согласие на обработку персональных данных оформляется исключительно в письменной форме.
Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.
Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.
Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.
Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.
Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях. Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:
- в Фонд социального страхования РФ, Пенсионный фонд РФ;
- в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
- когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
- наличия у работодателя доверенности на представление интересов работника;
- когда соответствующая форма и система оплаты труда прописана в коллективном договоре
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.
Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.
Роскомнадзор: как банку не нарушать закон «О персональных данных»
Антонина Приезжева перечислила, на что же жалуются граждане, когда пишут жалобы на банки. На передачу персональных данных третьим лицам без их согласия. На запрос банками избыточных персональных данных, на отказ удалять персональные данные по окончанию срока договора, на неправомерную обработку данных.
Граждане недовольным тем фактом, что их данные передаются сторонним организациям.
Чаще всего граждане недовольным тем фактом, что их данные передаются сторонним организациям при взыскании задолженности. Поэтому эти жалобы чаще всего касаются работы банков с коллекторскими агентствами.
Российское законодательство позволяет банкам обрабатывать персональные данные клиентов и передавать их третьим лицам – по агентской схеме, а так же в рамках договора цессии.
Поэтому коллекторскому агентству на стадии заключения агентского договора с банком надо убедиться в наличии согласия клиентов банка на передачу их персональных данных третьим лицам — вместе с портфелем ссудной задолженности.
Правда, в случае работы договора цессии иной порядок, оговорилась Приезжева. В случае переуступки задолженности по этому договору согласие должника на передачу его данных не требуется. Но тогда банк или коллекторское агентство обязано проинформировать должника о заключении договора цессии до момента начала взыскания задолженности.
По результатам обработки информации от банков Роскомнадзор убедился, что согласие клиентов на передачу данных третьим лицам прописано в кредитных договорах в подавляющем большинстве случаев.
Поэтому доводы людей, которые жалуются на неправомерную передачу их данных банками коллекторам, подтвердились лишь только в 6% случаев.
Роскомнадзор не дает оценку методам, которые используются коллекторами для взыскания задолженности, поскольку это работа других ведомств, в первую очередь, правоохранительных органов, подчеркнула Антонина Приезжева.
Регулятор пристально наблюдает за кредитованием «человека человеком».
Россияне предпочитают в кризис занимать у друзей и знакомых, следует из исследования индикаторов финансовой доступности, опубликованного ЦБ на прошлой неделе.
При этом в другом исследовании регулятор отмечает динамичное развитие p2p-кредитования, которое основано на социальных взаимосвязях. ЦБ даже подумывает о полноценном регулировании нового сегмента.
При этом большинство жалующихся читает, что банки неправомерно передают их данные коллекторам, и что коллекторы обязаны прекратить обработку их данных в случае отзыва гражданином разрешения на обработку его данных у банка. Но сложившееся общественное мнение в подавляющем большинстве случаев не соответствует законодательству, уверена представитель Роскомнадзора.
Но нередко к работе коллекторские агентства привлекают третьих лиц, не состоящих в штате этих агентств. И передача персональных данных о должниках этим лицам уже не соответствует законодательству России о персональных данных.
Роскомнадзор встает на защиту прав граждан, которые подвергаются неправомерному интересу со стороны коллекторов.
Роскомнадзор сталкивается с недобросовестностью самих заемщиков, которые при заключении кредитных договоров оставляют в банках данные третьих лиц – телефоны, почту, адреса и так далее.
Передача персональных данных третьим лицам
Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами (ст. 8 Закона РФ от 2 июля 1992 г. N 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании»). Комментируемая статья ограничивает право работодателя на получение информации о состоянии здоровья работника теми данными, на основании которых решается вопрос о возможности выполнения работником конкретной трудовой функции.
Хотя комментируемая статья позволяет работодателю получать информацию о состоянии здоровья работника (т. е. лица, уже вступившего в трудовые отношения с работодателем), необходимо отметить, что информация о состоянии здоровья гражданина необходима работодателю уже на стадии принятия решения о заключении трудового договора.