Разглашения персональных данных
Защита прав субъектов персональных данных
Основным нормативно-правовым актом, регулирующим отношения, связанные с обработкой персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В соответствии с ч. 1 ст. 23 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных»), Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16.03.2009 № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
На территории Тверской области, в соответствии с Положением об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по тверской области, утвержденным Приказом Роскомнадзора от 25.01.2016 № 71, полномочия по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных возложены на Управление Роскомнадзора по Тверской области.
Закон «О персональных данных» установил следующие основные понятия:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данных;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
— информационная система персональных данных — совокупность содержащихся в базе данных персональных данных обеспечивающих их обработку информационных технологий и технических средств.
Также Федеральный закон № 152-ФЗ установил принципы обработки персональных данных, условия и порядок обработки персональных данных, права субъектов персональных данных, обязанности оператора, права и обязанности уполномоченного органа в ходе осуществлениям им своей деятельности, а также ответственность за нарушение требований данного Федерального закона.
Основными законодательными и нормативно-правовыми актами в области обработки персональных данных являются:
Конституция Российской Федерации от 12.12.1993;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения
Уполномоченный орган по защите прав субъектов персональных данных имеет право:
запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах своих полномочий;
требовать от оператора уточнения, блокирования или уточнения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении Закона «О персональных данных».
Права субъектов персональных данных
Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.
Глава 3 Закона «О персональных данных» устанавливает следующие права субъектов персональных данных:
1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, должны быть представлены субъекту персональных данных оператором в доступной форме.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;
иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
4. Субъект персональных данных вправе обжаловать действия (бездействия) оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Уведомление оператора об обработке персональных данных
В соответствии с ч. 1 ст. 22 Закона «О персональных данных» операторы обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление, предусмотренное ч. 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
В случае представления оператором уведомления, содержащего неполные или недостоверные сведения, Управление вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
В соответствии с ч. 7 ст. 22 Закона «О персональных данных в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Уведомление об изменении сведений представляется Оператором в территориальное управление Службы на бланке оператора в виде информационного письма с указанием основания изменения сведений в письменной форме, подписанное уполномоченным лицом, с указанием сведений в соответствии с ч. 3 ст. 22 Закона «О персональных данных».
Статьей 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:
Статьей 13.11 Кодекса Российской Федерации об административных правонарушениях за нарушение законодательства Российской Федерации в области персональных данных предусмотрена ответственность.
Дела об административных правонарушениях, предусмотренных статьей 13.11 КоАП РФ, возбуждаются уполномоченным органом и рассматриваются судом.
Кроме того, статья 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде.
Дела об административных правонарушениях, предусмотренных статьей 19.7 КоАП РФ возбуждаются уполномоченным органом и рассматриваются судом.
По состоянию на 31 декабря 2019 г. количество операторов, осуществляющих обработку персональных данных на территории Тверской области и внесенных в реестр операторов, осуществляющих обработку персональных данных, составляет 5851.
Время публикации: 03.10.2009
Последнее изменение: 16.01.2020 09:43
В ближайшее время вступит в действие новый закон о персональных данных, который будет актуален для всех организаций, работающих с клиентами. Архитектор по информационной безопасности ActiveCloud Антон Грецкий рассказал о том, кого коснется новый закон, что будет относиться к персональным данным, какие изменения должны будут произвести компании после вступления закона в силу.
Так что же такое персональные данные? Закон определяет их следующим образом:
Как любой закон, закон о персональных данных имеет свою область применения. Это важно понимать при работе с персональными данными. Так в каких случаях он работает?
А в каких нет? Вот они: Например, вы спокойно можете фотографировать своих друзей на вечеринке, а потом обмениваться фотографиями, а если на фотосессии в парке к вам в кадр попал человек – вы не нарушили закон, так как он не запрещает вести фотосъемку в общественных местах.
В отдельных случаях обрабатывать персональные данные субъекта можно без его согласия.
-
Во-первых, это касается обработки данных в рамках оперативной и следственной деятельности.
-
Во-вторых, в рамках налогового законодательства – ваша налоговая не только про вас не забудет, но имеет право собирать информацию о вашей финансовой активности.
-
И в третьих в случаях, когда субъект не может как предоставить информацию о себе, так и дать согласие на ее обработку – например, когда человек поступает в больницу после тяжелого ДТП. Также без согласия можно обрабатывать персональные данные, которые стали общедоступными – например, когда человек сам выложил в открытый доступ в социальных сетях свой номер телефона, адрес или дату рождения.
С вступлением в силу нового закона у нас появится новое действующее лицо – оператор персональных данных. Кто он такой?
То есть новый закон о персональных данных придется соблюдать любой организации и физическому лицу, которые собирают и обрабатывают данные.
Оператор персональных данных имеет право:
Поручать обработку данных третьим лицам. Например, вы можете допустить обработку данных аутсорс-разработчикам сайта для интернет-магазина, при условии получения согласия на обработку от субъектов данных. Чтобы реализовать это требование, наниматели и работники, так же будут заключать соглашения о неразглашении;
Предоставлять информацию третьим лицам. Но если, например, для доставки товара из интернет-магазина оператор должен сообщить адрес и ФИО клиента своему курьеру, сделать это без согласия клиента будет нельзя.
Обязанности оператора персональных данных будут следующие:
Важно запомнить, что обработка персональных данных будет невозможна без получения согласия субъекта данных. Это основное законное основание. Как правильно получать согласие на обработку?
Согласие субъекта имеет обязательный перечень информации, которую оно должно включать:
Субъект персональных данных — это физическое лицо, в отношении которого осуществляется сбор, обработка, распространение, предоставление персональных данных. Какие права будут у субъекта персональных данных согласно новому законодательству?
А как теперь защищать персональные данные? Как и к защите любой информации ограниченного распространения, не отнесенной к государственным секретам, требования к защите персональных данных определены в законе «Об информации информатизации и защите информации», а требования к системам защиты информации в приказе ОАЦ №62.
Однако в части защиты персональных данных закон определяет перечень обязательных мер.
Закон устанавливает, что уполномоченный орган по защите прав субъектов данных вправе требовать от оператора изменения, удаления или блокирования недостоверных, или полученных незаконным путем данных и устранения прочих нарушений закона. Других мер реагирования, которые может применить уполномоченный орган в отношении нарушителей, закон не содержит.
Меры ответственности за неправомерные действия в отношении данных уже предусмотрены в законодательстве. Согласно статье 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) умышленное незаконное разглашение данных человеком, которому они стали известны в связи с его профессиональной деятельностью, — влечет штраф от четырех до двадцати базовых величин.
Это то, что необходимо знать о Законе о персональных данных уже сейчас. Возможно, до его вступления в силу произойдут другие изменения. Будем наблюдать. И обязательно расскажем об этом вам.
Часто задаваемые вопросы:
1. Когда планируется вступление в силу нового закона о персональных данных с РБ?
Закон после второго чтения был направлен на доработку. К примеру, изменится название закона. Планируется, что он будет называться «Закон о ЗАЩИТЕ персональных данных». Ожидается, что закон вступит в силу в марте 2020г.
2. Можно ли публиковать в открытом доступе серию и номер паспорта клиента?
Конечно, нет. Это один из видов персональных данных, который подлежит защите. В случае, если сам клиент опубликует где-то в открытых источниках эти данные, то они автоматически станут общедоступными персональными данными и требования по их защите предъявляться не будут, но это частный случай и вряд ли такое произойдет.
3. Какие требования (обязанности/ответственность) будут предъявлены к владельцам систем безопасности на объектах (системы контроля и управления доступом, системы видеонаблюдения) после принятия Закона о персональных данных?
После принятия Закона о защите персональных данных владельцы систем, в случае, если они будут являться операторами, будут обязаны реализовать меры по защите информации, указанные в данном законе. Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) указаны в приказе ОАЦ №62. Помните, что предпринимаемые меры по защите информации также зависят от класса системы, в которой она обрабатывается. Класс системы определяется согласно СТБ 34.101.30-2017г.
4. Как в соответствии с нормами планируемого закона о персональных данных построить процесс обработки и хранения персональных данных при получении их по электронным каналам, например, данных из резюме кандидата на работу?
Во-первых, необходимо получить согласия субъекта на обработку данных. Удобнее всего разместить его на сайте вашей компании. После ознакомления с перечнем обрабатываемой вами информации и целями обработки, субъект может дать осознанное согласие. Далее субъект сможет загрузить резюме или заполнить форму прямо на вашем сайте. Помните, что вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует. Так же, без согласия субъекта резюме, к примеру, не может быть передано из одной компании в другую с той же целью – найма на работу.
5. Какие действия в рамках планируемого к принятию закона необходимы при получении от клиента заявления об отзыве/запрете на обработку персональных. Например, клиент-физлицо является должником компании, после начала процесса досудебного взыскания (письма, телефонные звонки и т.д.) компания получает от клиента-должника заявление об отзыве/запрете на обработку персональных данных. Какие действия и каким образом может далее предпринимать компания?
В случае, если клиент является должником компании, но в процессе досудебного взыскания вдруг решает заявить об отзыве/запрете на обработку своих персональных данных вам следует обратиться в суд. В таком случае сразу же начнут действовать иные нормы законодательства, а предоставление персональных данных судебным органам в рамках процесса, даже в случае если субъект данных против (а это всегда так) не противоречит нормам Закона.
6. Произошло слияние двух компаний А и В. Вся клиентская база компании А перешла в компанию В. У компании А были письменные (или иные) разрешения от клиентов на обработку персональных данных. У компании В нет разрешений на обработку клиентов компании А. Каким образом и на основании каких норм законодательства компания В может осуществлять обработку персональных данных пула клиентов компании А?
Для осуществления компанией B обработки персональных данных пула клиентов компании А ей необходимо получить согласие каждого клиента из пула. Процедура получения согласия и его содержание описано выше. В случае отсутствия согласия каждого конкретного клиента, обработка его персональных данных невозможна.
7. Будет ли установлена по новому закону:
— необходимость аттестации негосударственной информационной системы в связи с хранением в ней персональных данных.
— необходимость аттестации негосударственной информационной системы если планируется ее взаимодействие с государственными информационными системами.
Нет, данные нормы закон не затрагивает. Они регулируются Законом «Об информации, информатизации и защите информации» и приказом ОАЦ №62.
8. Предусмотрена ли новым законом о персональных данных ОБЯЗАТЕЛЬНАЯ аттестация уполномоченными организациями используемых информационных систем субъектов хозяйствования РБ (например таких как: CRM, 1С, собственные кадровые БД и т.п.), содержащих персональные данные (или их отдельные элементы: имя, фамилию, телефон)? Если да, то в какие сроки?
Данный закон не касается вопросов, связанных с аттестацией. Хочу обратить внимание, что аттестации подлежит не информационная система, а система защиты информации информационной системы. Закон «Об информации, информатизации и защите информации» говорит о том, что системы защиты информации любых информационных систем (не зависимо от формы собственности) должны быть аттестованы, если в информационных системах обрабатывается информация ограниченного распространения. В то числе и персональные данные.
Вопрос о защите персональных данных в соответствии с требованиями нового закона становится все более актуальным. Как правильно реализовать поставленную задачу?
Компания ActiveCloud окажет вам услуги по IT-консалтингу, проведет аудит и поможет построить эффективную и экономически обоснованную систему защиты информации, проведет аттестацию уже существующей системы защиты информации или выполнит работы по актуализации в связи с изменениями в законодательстве.
Присылайте свои вопросы по информационной безопасности и защите персональных данных на е-мейл: infosec@activecloud.com
Содержание
- Какие данные являются персональными
- Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных
- Подведем итоги
- Общие положения
- 2. Состав и порядок получения персональных данных пользователей
- Цели обработки персональных данных пользователей
- 4. Сбор и обработка персональных данных пользователей
- 5. Передача персональных данных. Конфиденциальность персональных данных
- 6. Права субъекта персональных данных
- 7. Хранение персональных данных. Доступ к персональным данным клиентов
- 8. Защита персональных данных пользователей
- 9. Ответственность за разглашение информации, содержащей персональные данные. Внесение изменений в настоящее Положение
Какие данные являются персональными
Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
К персональным данным могут быть отнесены:
- фамилия, имя, отчество;
- пол, возраст;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
Кстати, сведения о заработной плате относятся к персональным данным.
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».
Можно ли номер телефона отнести к персональным данным?
Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.
А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).
Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.
Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных
С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.
Дисциплинарная ответственность
Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).
Материальная ответственность
Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
Административная ответственность
С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.
То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.
Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.
Практическая ситуация
В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?
Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.
То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.
Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):
- на граждан — от 500 до 1 000 руб.;
- на должностных лиц — от 4 000 до 5 000 руб.
С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.
Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.
Уголовная ответственность
Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):
- штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
- либо обязательными работами на срок от 120 до 180 часов;
- либо исправительными работами на срок до одного года;
- либо арестом на срок до четырех месяцев.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):
- штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
- либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- либо арестом на срок от четырех до шести месяцев.
Подведем итоги
Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:
- от всех ли работников получено согласие на обработку персональных данных;
- ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
- должным ли образом осуществляется хранение и защита персональных данных;
- соответствует ли документация об их обработке требованиям законодательства и т.д.
В соответствии с положениями ст. 3 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Таким образом, сведения о фамилии, об имени, отчестве, а также адресе физического лица, составе его семьи и др. являются персональными данными, не относящимися к общедоступным. Их распространение возможно только с согласия в письменной форме субъектов персональных данных.
За нарушение данного правила установлена ответственность.
В соответствии со ст. 24 Закона №152-ФЗ лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
В частности, ст. 13.11 КоАП РФ предусмотрено, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей, на должностных лиц — от пятисот до одной тысячи рублей, на юридические лица — от пяти тысяч до десяти тысяч рублей.
В соответствии с частью 1 статьи 23 Федерального закона от 27.07.2006г. №152 — ФЗ «О персональных данных», Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства Российской Федерации от 16.03.2009 №228, уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, в полномочия которого входит осуществление контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Обращения о фактах нарушения законодательства о персональных данных следует направлять в Управление Роскомнадзора по Кировской области (610001, г.Киров, ул.Комсомольская, д.43) или органы прокуратуры.
Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных» и другими нормативно-правовыми актами.
Основные понятия, используемые в Положении:
-
сайт — совокупность программно-аппаратных средств для ЭВМ, обеспечивающих публикацию данных в Интернет для всеобщего обозрения. Сайт доступен по уникальному электронному адресу или его буквенному обозначению: https://amado-id.ru/, https://marketing-b2b.ru/, https://internet-marketing.pro/, https://amado.pro/. также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других);
-
оператор, компания — юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;
-
персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, номер контактного телефона, адрес электронной почты, место работы, и другая информация;
-
субъект персональных данных, пользователь (посетитель) сайта в контексте настоящего положения — физическое лицо, являющееся пользователем сайта https://amado-id.ru/, https://marketing-b2b.ru/, https://internet-marketing.pro/ и (или) https://amado.pro/;
-
обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
-
конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
-
распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
-
использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
-
уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;
-
обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
-
блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
-
общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
Общие положения
1.3. Настоящее Положение утверждено приказом генерального директора Компании и действует до его отмены или до его замены иным аналогичным внутренним документом.
1.4. Настоящее Положение является обязательным для исполнения всеми сотрудниками Компании, имеющими доступ к персональным данным пользователей.
2. Состав и порядок получения персональных данных пользователей
2.1. Состав персональных данных:
2.1.1. Самостоятельно предоставляемые Пользователем данные:
2.1.1.1. фамилия, имя, отчество;
2.1.1.2. контактная информация, включая номера телефонов, e-mail и иные аналогичные, на предоставление которых была явно выражена воля Пользователя;
2.1.2. Автоматически собираемые данные:
2.1.2.1. IP-адрес, данные файлов cookie;
2.1.2.2. информация о браузере Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем,
2.1.2.3. дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация, собираемая счетчиком посещений.
Цели обработки персональных данных пользователей
3.1. Указанные в пункте 2.1 настоящего Положения персональные данные обрабатываются в следующих не противоречащих закону целях:
3.1.1. идентификация Пользователей;
3.1.2. предоставления Пользователю персонализированных сервисов и контента;
3.1.3. улучшения качества работы сайта;
3.1.4. проведения на основе обезличенных персональных данных статистических и иных исследований;
3.1.5. информирование Пользователя посредством отправки электронных писем; sms-уведомлений; голосовых уведомлений;
3.1.6. направление Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях;
3.1.7. рассылка на е-майл дайджеста «Амадо», а также в иных целях, не противоречащих законодательству РФ.
3.2. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
4. Сбор и обработка персональных данных пользователей
4.1. Обработка персональных данных Пользователей производится только с их согласия.
4.2. Согласие пользователя выражается путем заполнения формы обратной связи на сайте https://amado-id.ru/, https://marketing-b2b.ru/, https://internet-marketing.pro/, https://amado.pro/ и проставления специального знака в поле «С Положением об обработке персональных данных ознакомлен и согласен». Факт выражения явного и бесспорного согласия на обработку персональных данных подтверждается фактическим совершением вышеуказанных действий. Передача контактной информации Оператору технически невозможна без ознакомления и согласия Пользователя с Положением об обработке персональных данных. Пользователь, передающий свои контакты на сайте с помощью формы обратной связи, с целью получения доступа к информационным материалам и (или) сервисам Компании, тем самым выражает свое полное согласие в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» на автоматизированную, а также без использования средств автоматизации, обработку и использование своих персональных данных, способами, предусмотренными настоящим Положением.
4.3. Компания имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:
4.3.1. обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
4.3.2. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4.3.3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.3.4. обработка персональных данных необходима в интересах органов государственной власти РФ в рамках их полномочий, в случаях, предусмотренных законодательством РФ
4.4. При определении объема и содержания персональных данных Пользователя подлежащих обработке, сотрудники Компании руководствуются Федеральным законом «О персональных данных», законодательством, регулирующим деятельность средств массовой информации, настоящим Положением. Компания получает персональные данные Пользователя только в объеме, необходимом для достижения законных целей сбора и обработки персональных данных.
4.5. Сотрудники Компании не должны обрабатывать не являющиеся общедоступными персональные данные Пользователя о его судимости, политических, религиозных и иных убеждениях и частной жизни.
4.6. Компания обеспечивает защиту персональных данных Пользователя от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
4.7. В случае, если Компания на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
4.8. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.
4.9. Обработка персональных данных ведется методом смешанной (в том числе автоматизированной) обработки.
4.10. К обработке персональных данных Пользователя могут иметь доступ только работники Компании, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.
4.11. В случае соответствующего обращения субъекта персональных данных, Оператор обязан произвести необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
5. Передача персональных данных. Конфиденциальность персональных данных
5.1. Передача персональных данных осуществляется Оператором исключительно в случае необходимости исполнения настоящего Положения для достижения целей, указанных в нем.
5.2. Компания может передавать персональную информацию третьим лицам в следующих случаях:
5.2.1. третьим лицам, в отношении которых произведена уступка прав или обязанностей, или новация по соответствующему соглашению;
5.2.2. любому регулирующему органу, правоохранительным органам, центральным или местным исполнительным органам власти, другим официальным или государственным органам или судам, в отношении которых Оператор обязан предоставлять информацию в соответствии с применимым законодательством по соответствующему запросу;
5.2.3. третьим лицам-партнерам Компании;
5.2.4. любому третьему лицу в целях обеспечения правовой защиты Компании или третьих лиц при нарушении Пользователе, настоящей Политики, либо в ситуации, когда существует угроза такого нарушения.
5.3. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.
5.4. Сведения, перечисленные в статье 2 настоящего Положения, являются конфиденциальными. Компания обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения без согласия клиентов, либо наличия иного законного основании.
5.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.6. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Компании при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
6.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
6.4.1. подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
6.4.2. способы обработки персональных данных, применяемые Оператором;
6.4.3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
6.4.4. сведения о лицах, кому были переданы персональные данные Пользователя;
6.4.5. перечень обрабатываемых персональных данных и источник их получения;
6.4.6. сроки обработки персональных данных, в том числе сроки их хранения;
6.4.7. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия. В целях совершения указанных действий Пользователь должен направить в адрес Оператора письменное уведомление, содержащее соответствующее требование. Оператор обязан предпринять меры по обращению в сроки, установленные законом, но в любом случае не более чем в течение 30 (Тридцати) дней с момента получения уведомления.
6.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
6.8. Пользователь всегда может также отказаться и от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@amado-id.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
7. Хранение персональных данных. Доступ к персональным данным клиентов
7.2. Перечень сотрудников ООО «Амадо», имеющих доступ к персональным данным Пользователей, определяется приказом Генерального Директора.
7.3. Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении либо при получении письменного запроса. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.
7.4. Персональные данные могут храниться в электронном и бумажном виде на территории России.
8. Защита персональных данных пользователей
8.1. Защите подлежит информация, содержащая персональные данные Пользователя, размещенная как на электронных, так и на бумажных носителях.
8.2. Оператор обязан при обработке персональных данных Пользователей принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
8.3. Общую организацию защиты персональных данных Пользователей осуществляет уполномоченный приказом сотрудник Компании.
8.4. Сотрудник Компании, имеющий доступ к персональным данным Пользователя в связи с исполнением трудовых обязанностей:
8.4.1. обеспечивает хранение информации, содержащей персональные данные Пользователей, исключающее доступ к ним третьих лиц;
8.4.2. в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Пользователей;
8.4.3. при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать носители, содержащие персональные данные Пользователей лицу, на которое локальным актом Компании (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, указанные выше документы и иные носители передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.
8.4.4. При увольнении сотрудника, имеющего доступ к персональным данным Пользователей, носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.
8.4.5. Допуск к персональным данным Пользователей других сотрудников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.
8.5. Защита доступа к электронным базам данных, содержащим персональные данные Пользователей, обеспечивается:
8.5.1. использованием антивирусных и иных программно-технических средств защиты периметра внутренней сети, не допускающих несанкционированный вход в локальную сеть Оператора;
8.5.2. разграничением прав доступа с использованием учетной записи;
8.5.3. Все электронные приложения, содержащие персональные данные, включая информационные системы персональных данных, папки и файлы, содержащие персональные данные, защищаются паролем.
8.5.4. Копировать персональные данные Пользователей разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.
8.5.5. Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Компании, и в том объеме, который позволяет не разглашать излишний объем персональных данных.
9. Ответственность за разглашение информации, содержащей персональные данные. Внесение изменений в настоящее Положение
9.1. Работники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.2. В настоящее Положение могут быть внесены изменения. Компания имеет право вносить изменения по своему усмотрению.
9.3. Компания обязуется не вносить существенных изменений, не налагать дополнительных обременений или ограничений без уведомления Пользователей. Соответствующие уведомления могут быть отображены на Сайте.