Korshunof.ru

Юридическая консультация, адвокаты
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Разглашение персональных данных

Разглашение персональных данных

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Содержание статьи:

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.

В перечень персональных данных включается следующее:

  1. Сведения о дате и месте рождения
  2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
  3. Уровень образования
  4. Трудоустройство и стаж
  5. Наличие / отсутствие судимости
  6. Кредитные данные
  7. Информация о родственниках
  8. Место жительства (регистрации) лица
  9. Переписка в любой ее форме
  10. Состояние здоровья
  11. Образ жизни и иные биографические данные
  12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Передача персональных данных третьим лицам — что это такое

Под персональными данными с точки зрения международного и российского законодательства подразумевается любая информация прямо либо косвенно относящаяся к какому-либо конкретному человеку. И законодательство большинства стран мира, равно как и международные нормативы по обеспечению защиты прав человека, обеспечивает защиту и персональных данных людей, так как они могут серьезно повлиять на безопасность и качество жизни отдельно взятого лица. Более подробно о том, что такое персональные данные в России можно прочитать в отдельной статье, далее же будет рассматриваться непосредственно порядок их передачи и возможная ответственность за подобные действия.

Под передачей подразумевается предоставление информации, составляющей личные сведения, третьему лицу. При этом таковые действия могут осуществляться как в соответствии с законом, так и с нарушением действующего законодательства. Передача может быть произведена в отношении любых видов персональных данных и в любом виде — как в устном, так и в письменном, визуальном или электронном. Передача является одним из частных случаев обработки персональных данных, которая, в свою очередь, включает в себя и иные виды работы с рассматриваемой информацией.

Значение имеет характер сведений, цели передачи данных и статус лиц, получающих или передающих таковую информацию. В зависимости от вышеозначенных факторов также может изменяться легальность подобных действий, если они проводятся без получения согласия лица, которого касается означенная информация.

Если оператор получил согласие, в котором уточняются обстоятельства и ограничения распространения информации, он обязан в течение трех рабочих дней после этого опубликовать их. Место публикации не определяется, но предполагаем, что имеется в виду тот же ресурс, где будут доступны Ф. И. О., фотография и прочее.

Если физлицо по любым причинам сочтет распространение его данных неприемлемым в дальнейшем, оно может подать заявление об отзыве согласия с указанием Ф. И. О., контактов и списка данных, которые необходимо закрыть.

Читайте так же:
Какие документы нужны при продаже ипотечной квартиры в 2022 году

У оператора есть три рабочих дня, чтобы выполнить требование. Иначе гражданин имеет право подать заявление в суд.

Подведем итоги

Преимущества такой тщательной подготовки состоят в том, что при передаче персональных данных уменьшается риск проявления каких-либо угроз в их сторону за счет существующего руководства, положения которого определены довольно четко.

Кроме того, происходит повышение ответственности лиц, занимающих какую-либо должность, и отвечающих за соблюдение определенных на законодательном уровне норм информационной безопасности.

Надеемся, понятие трансграничной передачи данных стало вам немного более понятным. При условии, что остались какие-либо «белые пятна», мы рекомендуем вам еще раз прочесть данный материал, или обратиться к более подробным руководствам, описывающим данное явление.

Передача сведений через государственные границы проводится согласно законодательным нормам

Передача сведений через государственные границы проводится согласно законодательным нормам

Обработка персональных данных сотрудника

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т. д. Во время обработки соблюдайте требования ст. 5 Закона о персональных данных:

  • у обработки должны быть конкретные и законные цель и основание;
  • нельзя объединять базы данных, которые содержат персональные данные, обрабатываемые в несовместимых целях;
  • обрабатывать можно только те данные, которые соответствуют цели обработки;
  • форма хранения персональных данных должна позволять определять субъекта этих данных, а хранить их можно только в течение необходимого срока, после чего следует обезличить или уничтожить;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия;
  • персональные сведения передает сам гражданин.

Работодатель должен действовать в целях соблюдения законов и других нормативных актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения безопасности, контроля работы, сохранности имущества компании. Работодатель имеет право получать персональные данные только у работника, если же их можно получать от третьих лиц, необходимо уведомить работника и получить его письменное согласие.

Работодатель обязан обеспечить защиту персональных данных, поэтому в локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

С 1 сентября 2021 года появились требования к согласию на обработку персональных данных, разрешенных для распространения. Оно должно содержать следующую информацию (Приказ Роскомнадзора от 24.02.2021 № 18):

  • Ф.И.О. субъекта;
  • контактная информация;
  • сведения об операторе (организации, физлице, ИП);
  • сведения об информационных ресурсах оператора, на которых будут раскрыты персональные данные субъекта;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дано согласие;
  • категории и перечень персональных данных, на обработку которых субъект устанавливает условия и запреты;
  • условия передачи полученных персональных данных;
  • срок действия согласия на обработку.

Это согласие нужно именно работодателю, так как в случае спора он обязан доказать, что имел согласие на обработку. Например, оно точно потребуется при получении данных работника у третьей стороны, при передаче его персональных данных третьим лицам для предупреждения угрозы жизни и здоровью и пр., для обработки специальных категорий данных.

Читайте так же:
На сколько добавят по уходу за ребенком инвалидом

Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных

Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.

Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде в Пользовательском соглашении, а порядок обработки ПДн включить в Политику конфиденциальности.

Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор. Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.

Поэтому примем за общее правило, что согласие на обработку ПДн требуется при отсутствии между сторонами сделки. В законе есть и другие основания для обработки ПДн без согласия субъекта (например, такое право дано журналистами в целях их профессиональной деятельности или гос. органам — для осуществления возложенных на них функций и т.д.). Однако это частные случаи, которые не касаются оборота данных в гражданских отношениях.

Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.

Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.

Что относится к персональным данным?

Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.

Определение персональных данных

Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ .

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

В редакции 2011 года закон содержал перечень:

  • Фамилия, имя, отчество
  • Дата и место рождения
  • Адрес
  • Семейное положение
  • Социальное положение
  • Имущественное положение
  • Образование
  • Профессия
  • Доходы
  • Другая информация о гражданине

В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.

Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.

Читайте так же:
Если поступили обвинения в домогательстве к девочке подростку

Категории персональных данных

Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.

Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.

Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.

Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.

Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.

В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.

Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики.

Паспортные данные

Информацию в паспорте можно поделить на две категории.

Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.

Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.

По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов

  1. Серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.
    Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017 .
    Постановление Седьмого арбитражного апелляционного суда от 19.03.2018 № 07АП-1435/2018 по делу № А45-31683/2017 .
  2. Серия и номер паспорта – неотъемлемые реквизиты документа и делают его уникальным.
    Определение Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019 .
    Апелляционное определение Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018 .

Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.

Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.

На вопрос, является ли ИНН персональными данными, нет однозначного ответа.

С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.

Читайте так же:
Как правильно заполнить препроводительная ведомость к сумке

По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака). Таким образом, ИНН фактически является номером записи о лице в ЕГРН.
Письма Минфина России от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347 .

Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.

Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.

Номер телефона

При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.

Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является ( Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ ).

Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.

Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.

Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.

Электронная почта

В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.

В связке с другой информацией, например электронная почта и номер телефона, это уже однозначно персональные данные. Такая позиция подтверждена судебной практикой, например Апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626/2016 .

Сетевые идентификаторы (IP-адрес, файлы cookie и др.)

В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.

Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.

Вместе с этим если говорить об IP-адресе отдельно, то тут вопрос спорный. С одной стороны, существует подтверждающая позиция судов, например Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019 . Кроме того, в соответствии с Приказом ФГУП «Почта России» от 21.02.2019 № 73-п IP-адрес отнесён к персональным данным.

Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.

Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.

Номер автомобиля

Государственный регистрационный номер присваивается автомобилю, а не собственнику.

Читайте так же:
Как находится фондоотдача

Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.

Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.

Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных.

Обратите внимание: здесь мы рассказывали о том, как самостоятельно продать автомобиль.

Фотография

С одной стороны, очевидно, что по изображению можно определить того, кто изображён. Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько примеров.

Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.

Фото на копии паспорта. Мы все сталкиваемся с ситуациями, когда копируют паспорт. В паспорте есть фотография, и она остаётся у оператора. Является ли такая копия биометрическими персональными данными? Ответ на вопрос можно найти в . Если копия была сделана для подтверждения конкретных действий, например заключения договора на оказание банковских или медицинских услуг, то в эту категорию она не попадает и согласие не требуется. Если фотография используется для определения личности субъекта, то это биометрические персональные данные.

Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил : если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные.

Фото на сайте. При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.

Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.

Состояние здоровья

Состояние здоровья – это специальная категория персональных данных.

Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения.

Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.

Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector