Нарушения закона «О персональных данных» в 95% случаев находятся прямо на сайте

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Нарушения закона «О персональных данных» в 95% случаев находятся прямо на сайте». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Исключения из общего правила

Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:

• сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
• в одной организации могут работать несколько сотрудников с одинаковыми именами;
• ФИО общедоступны, в отличие от других сведений о гражданах.

Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.

Среди характеристик методов преобразования сведений:

• обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
• вариативность, или возможность изменить метод обезличивания в процессе обработки;
• стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
• возможность косвенного деобезличивания в едином массиве с данными других операторов;
• совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
• небольшой параметрический объем;
• возможность контроля качества данных.

Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:

• метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
• изменение семантики, при котором удаляется или заменяется часть информации;
• декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
• перемешивание персональных данных, принадлежащих различным субъектам.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

• цели получения персональных данных работника у третьих лиц;
• предполагаемые источники информации (лица, у которых будете запрашивать данные);
• способы получения данных, их характер;
• возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

В каких случаях ФИО относятся к персональным данным

Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.

Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.

В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.

С 2006 года в России действует закон «О персональных данных». В 2017 году внесены поправки в статью 13.11 КоАП РФ, предусматривающую ответственность за нарушение законодательства о персональных данных: выделены семь видов таких нарушений и увеличен размер штрафов до 75 000 рублей по отдельным составам.

Контроль защиты ПД осуществляет Роскомнадзор, который имеет довольно широкие полномочия и может составлять протоколы об административных правонарушениях. Ведомство самостоятельно определяет, являются ли распространяемые сведения персональными данными. В случае выявления нарушения РКН выносит редакции предупреждение. После двух предупреждений в течение года Роскомнадзор имеет право обратиться в суд с иском о прекращении деятельности СМИ.

При публикации информации о детях, их фотографий всегда необходимо письменное согласие родителей (опекуна).

Писать о детях-жертвах преступлений нужно особенно осторожно. Согласно ст. 4 закона «О СМИ», запрещается публиковать в СМИ и Интернете информацию о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая ФИО, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения, аудиозапись голоса, место жительства или место временного пребывания, место учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность несовершеннолетнего.

Исключения составляют случаи, когда распространение такой информации происходит в целях защиты прав и интересов несовершеннолетнего. Условия использования ПД в такой ситуации указаны в ст. 41 закона «О СМИ» – их можно распространять только с письменного согласия родителя (опекуна) ребенка. Если несовершеннолетнему исполнилось 14 лет, нужно получить два согласия: подростка и его родителей (опекуна). Если получить согласие невозможно, либо если законный представитель является подозреваемым или обвиняемым в совершении противоправных действий, допустимо использовать данные без согласия.

Те же условия действуют в ситуации, когда речь идет о несовершеннолетнем, совершившим преступление (административное правонарушение или антиобщественное действие) либо подозреваемым в его совершении.

Публикации о детях-жертвах сексуальных преступлений допускаются только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних. И только в объеме, необходимом для достижения указанных целей (ст. 41 закона «О СМИ»).

Несмотря на то, что в России услуги сотовой связи предоставляются по договору абонента и оператора (что дает теоретическую возможность третьему лицу установить, кому принадлежит номер), числовой идентификатор, опубликованный без сопровождающей информации, считается обезличенной ПДн. К нему не предъявляются требования по конфиденциальности.

Относится ли номер телефона к персональным данным узнаете тут.

Понятие ПДн в России, несмотря на наличие отдельного законодательного акта (ФЗ №152), остается расплывчатым. В законе нет четкого перечня и не описаны конкретные ситуации, когда одни и те же данные квалифицируются по-разному. К личным данным относится вся информация о физическом лице, при этом только на ее часть закон налагает ограничения по распространению и обработки (подробнее о том, какая информация считается ПД, читайте здесь).

Главным требованием является возможность идентификации лица, если ПДн дают возможность это сделать, их необходимо отнести к конфиденциальным личным данным. Сама формулировка остается актуальной только для физического лица, юридически зарегистрированные предприятия не являются субъекта ПДн в Российской Федерации.

Затрагивает ли это обычные сайты?

Несмотря на то, что в разъяснении Роскомнадзора от 8 ноября 2017 года рассматривается случай только с интернет-магазинами, требования закона могут затронуть большинство интернет-ресурсов, в том числе блоги, корпоративные сайты и так далее. Если те данные, которые вы получили через сайт (например, в результате заполнения формы обратной связи, регистрации на сайте, подписки на информационную рассылку и т.п.), являются персональными (о том, что является персональными данными, мы поговорим чуть ниже), между вами и субъектом персональных данных не заключено никакого договора, а ваши действия направлены на обработку, хранение и использование такие данных, то законом вы признаётесь оператором персональных данных (в ряде случаях придётся оповестить Роскомнадзор, но об этом тоже чуть позже).

А как насчет возмещения вреда?

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).
Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Чиновники разъяснили, что не является персональными данными

Роскомнадзор прокомментировал некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Роскомнадзор прокомментировал некоторые вопросы, касающиеся отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

В соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, пишет .

В этой связи , что не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы.

Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.

Аналогично с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона «О персональных данных», поскольку не используются оператором (владельцем видеокамеры или лицом, организовавшим ее эксплуатацию) для установления личности. Однако указанные материалы, используемые органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий, являются биометрическими персональными данными, в случае, если целью их обработки является установление личности конкретного физического лица.

Похожие записи:

• Проверить полис ОСАГО по базе РСА
• Какие выплаты положены в России на 3 ребенка в 2022-2023 году
• Размеры государственных пошлин, банковские реквизиты для ее уплаты