Разглашение информации о задолженности третьим лицам

Ответственность за распространение третьим лицам сведений о задолженности по кредиту

Здравствуйте, Руслан.

Данные действия квалифицируются ст.137 Уголовного кодекса РФ:

Статья 137. Нарушение неприкосновенности частной жизни

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации —

наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, —

наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

А также, согласно ст.152 Гражданского кодекса:

Статья 152. Защита чести, достоинства и деловой репутации

1. Гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Опровержение должно быть сделано тем же способом, которым были распространены сведения о гражданине, или другим аналогичным способом.

По требованию заинтересованных лиц допускается защита чести, достоинства и деловой репутации гражданина и после его смерти.

2. Сведения, порочащие честь, достоинство или деловую репутацию гражданина и распространенные в средствах массовой информации, должны быть опровергнуты в тех же средствах массовой информации. Гражданин, в отношении которого в средствах массовой информации распространены указанные сведения, имеет право потребовать наряду с опровержением также опубликования своего ответа в тех же средствах массовой информации.

3. Если сведения, порочащие честь, достоинство или деловую репутацию гражданина, содержатся в документе, исходящем от организации, такой документ подлежит замене или отзыву.

4. В случаях, когда сведения, порочащие честь, достоинство или деловую репутацию гражданина, стали широко известны и в связи с этим опровержение невозможно довести до всеобщего сведения, гражданин вправе требовать удаления соответствующей информации, а также пресечения или запрещения дальнейшего распространения указанных сведений путем изъятия и уничтожения без какой бы то ни было компенсации изготовленных в целях введения в гражданский оборот экземпляров материальных носителей, содержащих указанные сведения, если без уничтожения таких экземпляров материальных носителей удаление соответствующей информации невозможно.

5. Если сведения, порочащие честь, достоинство или деловую репутацию гражданина, оказались после их распространения доступными в сети «Интернет», гражданин вправе требовать удаления соответствующей информации, а также опровержения указанных сведений способом, обеспечивающим доведение опровержения до пользователей сети «Интернет».

6. Порядок опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина, в иных случаях, кроме указанных в пунктах 2 — 5 настоящей статьи, устанавливается судом.

7. Применение к нарушителю мер ответственности за неисполнение судебного решения не освобождает его от обязанности совершить предусмотренное решением суда действие.

8. Если установить лицо, распространившее сведения, порочащие честь, достоинство или деловую репутацию гражданина, невозможно, гражданин, в отношении которого такие сведения распространены, вправе обратиться в суд с заявлением о признании распространенных сведений не соответствующими действительности.

9. Гражданин, в отношении которого распространены сведения, порочащие его честь, достоинство или деловую репутацию, наряду с опровержением таких сведений или опубликованием своего ответа вправе требовать возмещения убытков и компенсации морального вреда, причиненных распространением таких сведений.

10. Правила пунктов 1 — 9 настоящей статьи, за исключением положений о компенсации морального вреда, могут быть применены судом также к случаям распространения любых не соответствующих действительности сведений о гражданине, если такой гражданин докажет несоответствие указанных сведений действительности. Срок исковой давности по требованиям, предъявляемым в связи с распространением указанных сведений в средствах массовой информации, составляет один год со дня опубликования таких сведений в соответствующих средствах массовой информации.

11. Правила настоящей статьи о защите деловой репутации гражданина, за исключением положений о компенсации морального вреда, соответственно применяются к защите деловой репутации юридического лица.

Для привлечения к ответственности лиц, распространяющих о вас сведения подобного характера, ставшие им известными в результате служебной деятельности, вам необходимо обратиться в полицию и подать соответствующее заявление.

Наряду с этим вы вправе обратиться в суд и потребовать возмещения компенсации за причиненный моральный вред в соответствии со ст.ст.151 и 152 Гражданского кодекса РФ.

Заявление подается в суд по месту юридического адреса кредитной компании.

Всего доброго.

Все финансовые учреждения, владеющие персональной информацией клиентов, обязаны хранить ее в секрете, а также защищать от передачи третьим лицам. Если данные о денежных потоках попали в руки злоумышленников или последние имеют доступ к электронным платежам держателей счетов, то все это можно использовать в мошеннических целях. Как охраняется банковская тайна при кредите, рассмотрим далее в этой статье.

Из этой статьи вы узнаете:

• Что такое банковская тайна
• Бывает ли банковская тайна при кредите
• Когда кредит попадает под банковскую тайну
• Что положено за нарушение банковской тайны

Что такое банковская тайна

По действующему законодательству к банковской тайне относят любую конфиденциальную информацию обслуживаемых клиентов. Это данные паспорта, оказанные услуги, проведенные операции – все это кредитные учреждения (сознательно или случайно) не вправе раскрывать для посторонних лиц без официального запроса государственных структур или предписания судебных органов.

Для совершения противозаконных действий финансовым мошенникам необходимы персональные данные (ПД) граждан и сведения об их банковских счетах. Поэтому должные условия защиты и хранения банковской тайны значительно снижают вероятность проведения афер и махинаций с денежными средствами клиентов.

Если произошла утечка информации и банковская тайна стала достоянием третьих лиц, возможны следующие негативные последствия:

• Мошенники используют личные данные клиентов для материального обогащения.
• Раскрытие данных о состоянии расчетных счетов и денежных потоках.
• Шантаж клиентов банка.
• Утрата вкладов и займов.
• Хищение сумм, которые хранятся на платежных картах.

Риски возможного разглашения банковской тайны строго контролируются на юридическом уровне. Выдача конфиденциальной информации осуществляется только по официальной процедуре, а преступления расследуются. Финансовые учреждения обязаны не просто закрывать доступ к личным данным клиентов для третьих лиц, но и обеспечивать безопасность, создавая неуязвимые системы защиты данных.

С юридической точки зрения банковская тайна содержит весь перечень конфиденциальной информации, передаваемой клиентом для получения кредита или других услуг в финансовой организации.

Банкам запрещено разглашать сведения, которые указаны в анкетах, бланках и заявках на кредиты. Имеются в виду оригиналы договоров, нотариально заверенные копии документов, справки о состоянии банковских счетов (выписки), паспортные данные клиентов и их контакты. Полный список тайной информации с ограниченным доступом приведен в Федеральном законе о деятельности российских банков.

Банковская тайна при кредите предполагает следующие сведения:

• реквизиты предприятий и организаций;
• паспортные данные граждан и их контакты;
• доходы, получаемые клиентом (вкладчиком, заемщиком);
• номера и сроки действия банковских карт, реквизиты расчетных счетов;
• данные о праве собственности на залоговое имущество и средствах, полученных в кредит;
• открытые (закрытые) расчетные счета – номер, тип, валюта, дата подписания договора и срок действия;
• общий объем операций, совершенные транзакции, движение средств.

Официальный список персональной и прочей информации, которая трактуется как банковская тайна при кредите, необходим финансовым организациям для операционной деятельности и бухгалтерских отчетов по балансу предприятия.

Некоторые корпоративные и персональные сведения, передаваемые банкам, могут быть раскрыты только при согласии клиента с правилами их рассекречивания. Намеренная передача ПД третьим лицам для получения материальной выгоды квалифицируется как уголовное преступление, а виновные отвечают по Уголовному кодексу РФ.

Органы власти имеют доступ к персональным данным клиентов банка без их уведомления, если сведения необходимы для проведения проверок, расследования преступлений и составления аналитических отчетов.

Банковская тайна при кредите

Если заемщик не платит по кредиту и нарушает график погашения долгов, при этом уклоняясь от общения с банком, тот начинает его искать. Обычно должников расстраивает то, что их финансовые проблемы становятся предметом обсуждения общественности – сотрудников, начальства, соседей, близких и др.

Они пишут гневные письма в народный рейтинг, которые, к сожалению, необоснованны. Все дело в том, что банковская тайна при кредите действует только для вкладчиков с расчетным счетом в банке. Заемщики вообще не имеют кредитного счета. А термин «кредитная линия» не играет роли и не обязывает учреждение хранить тайны таких клиентов.

В действительности банк открывает локальный ссудный счет, принадлежащий учреждению. А погашение долга идет в адрес кредитора, а не на мнимый «кредитный счет» клиента.

ПОСТАНОВЛЕНИЕ Президиума Высшего Арбитражного Суда Российской Федерации

№ 8274/09 от 17.11.2009

г. Москва

Положение «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ» (утв. Центробанком России № 302-П от 26.03.2007) определяет, что условие для выдачи и погашения кредита (т. н. кредиторская обязанность банка) – это открытие ссудного счета и его ведение самой финансовой организацией.

Подобные счета не входят в группу банковских и показывают в их балансе создание и погашение ссудной суммы. Иными словами, операций по выдаче кредитов и возврату денег, согласно оформленным кредитным договорам.

Выходит, что действия финансового учреждения по управлению ссудными счетами нельзя расценивать как отдельную услугу банка. А ссудный счет клиента является всего лишь внутренним ресурсом банка, который вообще не связан с заемщиком. Он создан для контроля его кредиторской задолженности, которая для самого банка будет дебиторской.

Таким образом, счет заводят не для заемщика, а только для ведения учета операций. Примерно так же предприятия учитывают дебиторские долги по счету 62, 76 и др. Согласно бухучету ВСЕ клиентские счета кредитного учреждения фигурируют в ПАССИВЕ банковского баланса.

Читайте также: «Памятка заемщика по потребительскому кредиту»

Статья 11 Налогового кодекса РФ (пункт 2) гласит, что «под счетами понимаются расчетные (текущие) и иные счета в банках, открытые на основании договора банковского счета, на которые зачисляются и с которых могут расходоваться денежные средства организаций и индивидуальных предприятий». Итак, при оформлении кредита ДЕНЬГИ ПОСТУПАЮТ на счет заемщика. Тут же ИДЕТ дебетовая ПРОВОДКА по счету ссуды. Становится очевидным, что ссудный счет не попадает под свое определение в статье 11 (пункт 2). Это – с правовой позиции.

Выходит, что банк заводит ссудный счет БЕЗ СПРОСА, НА ОСНОВАНИИ локальных документов и во исполнение своих инструкций по бухучету и предоставлению услуг.

Положение Банка России № 385-П от 16.07.2012

«О правилах ведения бухучета в кредитных организациях, расположенных на территории РФ» (последний вариант)

п. 4.56

№ 455 «Кредиты и прочие средства, предоставленные физлицам»

Активные счета, предназначенные для контроля задолженности по кредитам, другим вложенным средствам согласно графику погашения; для контроля долгов по прочим средствам, которые выданы клиентам; по кредитам, одобренным при нехватке денег на текущем счете (по «овердрафту»), и пассивные счета, где учтены ресурсы на возможные убытки.

Когда кредитные деньги попадают под банковскую тайну

С учетом внутренних инструкций каждого банка кредитные средства (кредиты), предоставляемые гражданам, могут выдавать в виде:

• наличных;
• депозита до востребования (требует оформления договора банковского вклада);
• зачисления на лицевой счет (после заключения соответствующего договора).

В первом варианте банковская тайна при кредите не всегда распространяется на информацию о получении займа физическим лицом и на данные о его погашении. Это зависит от того, насколько полно банк истолковывает понятие тайны вклада для своих клиентов.

В двух других случаях конфиденциальными данными является информация о существовании банковского депозита или счета и операциях, которые совершаются в его пределах. Эти сведения, несомненно, относятся к разряду «банковская тайна».

В соответствии с ФЗ-395-1 от 02.12.90 «О банках и банковской деятельности» (статья 26) указанная информация относится к финансовым операциям, поэтому всем очевидно, что это банковская тайна.

Из вышеизложенного следует вывод: на основании Гражданского кодекса РФ (ст. 857) и закона о банках (ст. 26) данные о выдаче кредита считаются банковской тайной.

Банковская тайна при кредите и коллекторы

Судебная практика последних лет показывает, что кредитные учреждения вправе передавать долги своих заемщиков в коллекторские фирмы.

Для проведения этих действий (с учетом того, что существует банковская тайна при кредите) необходимо выполнить три условия:

1. Задолженность клиентов передается через заключение договора цессии (уступки прав требования) при соблюдении соответствующих статей Гражданского кодекса РФ.
2. Если кредит оформлен на физическое лицо, продажа долга коллекторам без лицензии на банковскую деятельность допускается только тогда, когда последнее указано в кредитном договоре, который подписал заемщик.
3. Если же долг гражданина признан судом и кредитору выдан исполнительный лист, он может быть передан любому третьему лицу, даже если должник не давал согласия на такую передачу. (Определение Верховного суда № 89-КГ15-5 от 07.07.2015).

При соблюдении этих требований передача задолженности по кредиту коллекторам с предоставлением персональных данных должника не считается противоправным действием, при котором раскрыта банковская тайна при кредите физического лица.

Читайте также: «Кредитные риски банков: оценка и управление»

Тем не менее работники коллекторских агентств и специалисты банка должны хранить конфиденциальность данных о клиентах, как того требует тайна банковского вклада.

Ответственность за нарушение банковской тайны

Начнем с того, что коммерческие банки не имеют права отказать полномочным государственным структурам в предоставлении секретной информации. Часть данных службы мониторинга получают автоматически. Это снижает вероятность незаконных сделок. Контроль финансовых потоков позволяет избежать критических ошибок, которые совершают сами клиенты.

Из-за чего становится доступной банковская тайна при кредите:

• Непреднамеренное раскрывание данных путем технических ошибок или нарушений работников кредитного учреждения.
• Сознательное разглашение ПД для получения прибыли.
• Выдача сведений о клиентах коллекторским компаниям с нарушением буквы закона.
• Использование контактов граждан и организаций для массовых рассылок без согласования с клиентами.

Сознательное нарушение правил хранения банковской тайны при кредите или вкладе может повлечь за собой уголовную ответственность сотрудников финансового учреждения. Любые споры, возникающие при утечке личных данных, решаются мирным путем. Как правило, банк должен уведомить клиента об утрате информации и пригласить его в одно из отделений для корректировки договора.

Читайте также: «Продажа банками задолженности: стоит ли бояться передачи долга»

К примеру, подозрительные банковские карты, выданные по кредиту, или расчетные счета подверглись блокировке. Банк предлагает оплатить моральный и финансовый ущерб клиента в обмен на мирное урегулирование проблем без обращения в суд. Если заемщик или вкладчик не согласен с компромиссом, дело о нарушении банковской тайны передается в уголовное производство.

Какие наказания ждут банк, если раскрыта банковская тайна при кредите, а ПД клиентов стали достоянием третьих лиц:

• Увольнение сотрудника, который отвечает за хранение конфиденциальных данных, с запретом на работу в этой должности на протяжении 3 лет.
• Привлечение к материальной ответственности или обязательные работы (до 5 лет).
• Лишение свободы (при уголовном рассмотрении) на срок до 7 лет.
• Штрафные санкции в размере до 1 500 000 руб.
• Конфискация постоянных доходов осужденного в течение 3 лет.

К тому же пострадавшие клиенты могут рассчитывать на стопроцентное возмещение ущерба и нанесенного морального вреда. На тяжесть наказания влияют последствия утечки ПД, поэтому пострадавший должен доказать в суде факт причинения урона.

Ответственность за преднамеренное или случайное раскрытие банковской тайны при кредите несут работники финансовых учреждений и другие лица, допущенные к личной информации клиентов, в том числе представители органов власти и некоммерческих структур, таких как БКИ.

Предыдущая запись

Персональные данные

Эта статья или раздел описывает ситуацию применительно лишь к одному региону, возможно, нарушая при этом правило о взвешенности изложения. Вы можете помочь Википедии, добавив информацию для других стран и регионов.

Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей.

Эта статья или раздел нуждается в переработке. Пожалуйста, улучшите статью в соответствии с правилами написания статей.

Персона́льные данные (ПД) или личностные данные — любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам.

Хотя концепция персональных данных довольно стара, развитие сетей связи и автоматизированного анализа данных позволило красть, централизованно собирать и массово продавать данные о человеке. Эти данные помогают выследить человека, спланировать преступление против него или постороннему выдать себя за другого. Более мирное применение персональным данным — реклама.

Хотя современные технологии анализа данных позволяют отличить одного человека от другого по очень косвенным признакам, персональные данные — это юридическое, а не техническое понятие.

Нормативная база

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Положения Декларации получили своё дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод.

28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (далее — Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европарламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам — членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.)

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет уровни защищенности и новые типы информационных систем.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.

В 2008 году были приняты следующие документы (согласно Постановлению Правительства РФ № 781 — в настоящее время действие данного постановления отменено, однако методические материалы используются).

В 2012 году было принято новое Постановление Правительства № 1119, а в 2013 году введён в действие новый Приказ ФСТЭК № 21, а также очередные правки в Федеральном законе № 152 от 27.07.2011. Данные документы предъявляют новые требования к оператору персональных данных.

Федеральный закон РФ

«О персональных данных» от 27.07.2006 № 152-ФЗ.

Указ Президента РФ

«Об утверждении перечня сведений конфиденциального характера» указ Президента РФ от 6 марта 1997 г. № 188.

Постановления Правительства Российской Федерации

• «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512;
• «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687;
• «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119.

Методические материалы Роскомнадзора

• «Об утверждении требований и методов по обезличиванию персональных данных» приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 N 29935);
• «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013;

Методические материалы ФСТЭК России

• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;
• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утв. ФСТЭК РФ 14 февраля 2008 года;
• «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказ ФСТЭК России от 18.02.2013 № 21 (Зарегистрировано в Минюсте России 14.05.2013 № 28375).

Документы, которые не применяются:

• с 15 марта 2010 года:
  • «Основные мероприятия по организации технического обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года).
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года).

позже:

• • «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» приказ ФСТЭК России от 5.02.2010 № 58 (зарегистрирован в Минюсте России 19.02.2010 № 16456).

Приказ ФСТЭК России о составе и содержании мер по обеспечению безопасности персональных данных в ИСПДн

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Документ зарегистрирован в Минюсте РФ 14 мая 2013 года, опубликован 22 мая 2013 года в «Российской газете» (№ 6083), вступил в действие с 1 июня 2013 года.

Признает утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).

Методические материалы ФСБ России

• «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года № 149/54-144;
• «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года № 149/6/6-622.
• «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» приказ ФСБ России от 10.07.2014 № 378.

В соответствии с положениями федерального закона от 27 декабря 2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“», вступившего в силу 29 декабря 2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПДн шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путём организации криптографической защиты данных, перестали носить обязательный характер.

Приказ трех ведомств

13 февраля 2008 г. был подписан так называемый «приказ трех»:

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.

Проводить классификацию информационных систем персональных данных должны все операторы персональных данных, осуществляющие обработку с использованием средств автоматизации.

Отменен совместным приказом ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г. № 151/786/461 «О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

Обнародование персональной информации судами

В силу ст. 13 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» Обнародование информации о деятельности судов в средствах массовой информации осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации, к которым относится Закон РФ от 27.12.1991 N 2124-1 «О средствах массовой информации», а также издаваемые в соответствии с ним иные нормативные правовые акты Российской Федерации. На основании п. В ч. 2 ст. 14 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации,» в сети «Интернет» размещаются сведения о находящихся в суде делах: регистрационные номера дел, их наименования или предмет спора, информация об участниках судебного процесса, информация о прохождении дел в суде, а также сведения о вынесении судебных актов по результатам рассмотрения дел.

Информация об участниках судебного процесса размещается в сети «Интернет» с учетом требований, предусмотренных статьей 15 Федерального закона от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».В силу абз. 1 ч. 4 ст. 15, персональными данными являются фамилии, имена и отчества участников судебного процесса, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, идентификационный номер налогоплательщика — физического лица, основной государственный регистрационный номер индивидуального предпринимателя, страховой номер индивидуального лицевого счета; При размещении в сети «Интернет» текстов судебных актов, принятых судами общей юрисдикции, Верховным Судом Российской Федерации, за исключением текстов судебных актов, принятых Верховным Судом Российской Федерации в соответствии с арбитражным процессуальным законодательством, в целях обеспечения безопасности участников судебного процесса и защиты государственной и иной охраняемой законом тайны из этих актов исключаются персональные данные, указанные в части 4 статьи 4 ФЗ N 262-ФЗ.

Вместо исключенных персональных данных используются инициалы, псевдонимы и другие обозначения, не позволяющие идентифицировать участников судебного процесса.

Не подлежат исключению идентификационный номер налогоплательщика — индивидуального предпринимателя, основной государственный регистрационный номер индивидуального предпринимателя, фамилии, имена и отчества истца, ответчика, третьего лица, гражданского истца, гражданского ответчика, административного истца, административного ответчика, заинтересованного лица, лица, в отношении которого ведется производство по делу об административном правонарушении, фамилии, имена и отчества осужденного, оправданного, секретаря судебного заседания, судьи (судей), рассматривавшего дело, а также прокурора, адвоката и представителя.

Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях (часть 1 статьи 1). Согласно части 2 статьи 8 Закона о персональных данных сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. В силу пункта 5 части 2 указанный Федеральный закон не распространяется на отношения, возникающие при предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации», который является специальным законом, подлежащим применению к спорным правоотношениям.

Защита персональных данных и ответственность

Ответственность за разглашение персональных сведений наступает, в соответствии с частью 1, 2, ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» по отношению к сведениям, которые составляют, например, врачебную тайну, разглашение которых не допускается, в том числе после смерти гражданина. К ним относятся:

• сведения о факте обращения гражданина за оказанием медицинской помощи;
• сведения о состоянии здоровья и диагнозе гражданина;
• иные сведения, полученные при медицинском обследовании и лечении гражданина.

Также в примечании к статье ст. 137 УК РФ говорится, что она предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или СМИ, а также за те же деяния, совершенные лицом с использованием своего служебного положения. Из приведенных статей ясно, что к ответственности может быть привлечено любое лицо, нарушающее ФЗ. Выходит, что пока мобильные приложения (соцсети и др.), а также интернет вещей (IoT) не выполняют никаких действий без их подтверждения, то есть требования закона соблюдаются, но стоит отметить, что необходима особенная внимательность пользователя при подтверждении тех или иных прав на доступ к конфиденциальной информации. Это касается и стандартов защиты корпоративных данных.

Защита персональных данных в соцсетях

Хотя имеется возможность настройки пользовательского доступа в соцсетях, это не решает проблему защиты персональных данных. Существуют и другие пути утечки данных, а именно: общедоступные данные, добровольно размещаемые пользователями в социальных сетях, могут быть обработаны сторонними сервисами, но у физического лица всегда есть право на исключение этих данных путем направления соответствующего требования оператору персональных данных (например, оператор связи или хостеру), по которому последний обязан немедленно прекратить обработку персональных данных этого лица.

Персональные данные в цифровых медиа

Другим аспектом персонализации является растущая распространенность открытых данных в Интернете. Многие компании предоставляют свои данные в Интернете через API, веб-сервисы и стандарты открытых данных. Данные, предоставляемые таким образом, структурированы, чтобы их можно было связывать и повторно использовать третьими сторонами. Доступ к данным, доступным в личном социальном графе пользователя, может осуществляться сторонним прикладным программным обеспечением, подходящим для персонализированной веб-страницы или информационного устройства.

Веб-страницы могут быть персонализированы на основе характеристик пользователей (интересов, социальной категории, контекста и др.), действий, намерений совершить покупку, проверить статус объекта или т.д. Обратите внимание, что этот опыт редко является просто приспособлением для пользователя, но представляет собой взаимосвязь между пользователем и желаниями дизайнеров сайта при осуществлении конкретных действий для достижения целей (например, увеличение конверсии продаж на странице).

Персонализация также рассматривается для использования в менее открытых коммерческих приложениях для улучшения взаимодействия с пользователем в Интернете.

Массовая персонализация

Массовая персонализация определяется как индивидуальная настройка в соответствии со вкусами и предпочтениями конечных пользователей. Массовая персонализация может рассматриваться как совместная работа между клиентами и производителями, которые имеют разные наборы приоритетов и нуждаются в совместном поиске решений, которые наилучшим образом соответствуют индивидуальным потребностям клиентов с возможностями настройки производителей.

Основное различие между массовой кастомизацией и массовой персонализацией заключается в том, что кастомизация — это способность компании предоставлять своим клиентам возможность создавать и выбирать продукт в соответствии с определенными спецификациями, но имеет ограничения. Один пример массовой персонализации: веб-сайт, зная местоположение пользователя и покупательские привычки, будет предлагать предложения, адаптированные к демографии этого пользователя. Каждый пользователь классифицируется по определенной характеристике (местоположение, возраст и т.д.). Поведенческий таргетинг представляет собой концепцию, похожую на массовую персонализацию.

Примечания

1. Федеральный закон «О персональных данных»
2. Российская Газета. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва
3. Постановление Правительства № 1119. Схема требований
4. Сравнительный анализ старой и новой нормативно-правовой базы (от 02.2013).
5. Порядок действия оператора персональных данных в соответствии с новым законодательством (от 02.2013)
6. 1 2 ФСТЭК России — Информационно-справочная система по документам в области технической защиты информации
7. ФСТЭК России — Решение ФСТЭК
8. ФСБ РФ — Методические материалы открытого характера, предназначенные для определения методов и способов защиты с использованием криптосредств персональных данных.
9. ФСТЭК, ФСБ, Минкомсвязь России. О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Российская Газета (31 декабря 2013 г.).
10. Федеральный закон от 22.12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации
11. 1 2 Манык П. В. Правовые основы безопасности виртуальной среды // Information Security. Информационная безопасность. — 2016. — № 2(35). — С. 33.
12. Манык П. В. Защита персональных данных в социальных сетях // Information Security. Информационная безопасность. — 2016. — № 5. — С. 8-9.
13. Thorpe, Chris; Rogers, Simon. «Ordnance Survey opendata maps: what does it actually include?».. The Guardian (2010).
14. Google Opens Up Data Centre for Third Party Web Applications. Cio.com (2008-05-28. Retrieved 2013-01-16).
15. Bowen, J.P. and Filippini-Fantoni, S. Personalization and the Web from a Museum Perspective. In David Bearman and Jennifer Trant (eds.).

Ссылки

• Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».

идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

• Номер и серия паспорта.
• Страховой номер индивидуального лицевого счета (СНИЛС).
• Идентификационный номер налогоплательщика (ИНН).
• Биометрические данные.
• Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

• Фамилия, имя, отчество, дата рождения, место прописки.
• Фамилия, имя, отчество, дата рождения, должность.
• Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные. Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

• Операционная система.
• Часовой пояс и время браузера в 24-часовом формате.
• Язык браузера.
• Глубина цвета и разрешение экрана.
• Поддерживает ли браузер и/или включен JavaScript.
• Версия JavaScript, поддерживаемая браузером.
• Тип соединения, используемый для передачи данных.
• Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее.

В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

Защита персональных данных

В последнее время Операторы связи всё чаще получают запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).

Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. В 2019 году всё чаще территориальные управления Роскомнадзора проводят проверки Операторов на предмет защиты персональных данных. При этом, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тысяч рублей также выросло и количество возможных нарушений в этой области. Настоящая статья поможет небольшим операторам правильно выстроить систему защиты персональных данных

***

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Наиболее распространённые виды – паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Лица (как физические, так и юридические), которые обрабатывают персональные данные, являются операторами персональных данных.

В Российской Федерации обработка персональных данных (требования к обеспечению её безопасности, т.е. защита) регулируется государством. 27 июля 2006 года был принят Федеральный закон «О персональных данных» N 152-ФЗ.

Фактически, обязательные требования содержатся не только в Законе «О персональных данных», но и в некоторых подзаконных актах. В частности, иные важные требования к защите персональных данных содержатся в следующих нормативно-правовых актах:

1. Постановление Правительства РФ от 15.09.2008 N 687 (особенности обработки ПДн без средств автоматизации).
2. Постановление Правительства РФ от 01.11.2012 N 1119 (требования к обработке ПДн в информационных системах).
3. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14.02.2008)
4. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 15.02.2008)
5. Приказ ФСТЭК России от 18.02.2013 N 21 (организационные и технические меры при обработке ПДн в информационных системах).

Требования к обеспечению безопасности при обработке персональных данных, установленные перечисленными актами, достаточно обширны, некоторые довольно сложны в техническом и организационном плане.

Ответственность за нарушение законодательства о персональных данных закреплена в Кодексе РФ об административных правонарушениях, в статье 13.11. Данная статья с 01 июля 2017 года насчитывает 7 составов правонарушений, размер наказаний за их совершение варьируется от 15 до 75 тыс. руб. административного штрафа. Более того, как раньше, так и после вступления в силу поправок в КоАП РФ, увеличивших штрафы и введших новые правонарушения, надзорный орган неоднократно привлекал к ответственности нарушителей законодательства в области персональных данных.

Требования законодательства в области персональных данных довольно обширны, сложны и неоднозначны, поэтому, в первую очередь, хочется узнать, за что установлена ответственность.

Ответ на данный вопрос даёт ст. 13.11. Кодекса Российской Федерации об административных правонарушениях:

Часть 1 статьи 13.11:

«Обработка персональных данных в случаях, не преду-смотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных…», — штраф от 30 до 50 т.р. На что обратить внимание:

Персональные данные могут обрабатываться в следующих случаях (достаточно одного любого условия):

1. Есть согласие субъекта (НЕ ОБЯЗАТЕЛЬНО ПИСЬМЕННОЕ, т.е. «галочка» на сайте, вопрос по телефону – подойдут).
2. Вы заключили или собираетесь заключить договор с субъектом (даже если это оферта на веб-сайте и для заключения не нужна подпись). В таком случае даже согласия не нужно.
3. Вы обрабатываете персональные данные своих работников (из трудовых отношений). Здесь согласие также не нужно.
4. В иных специфических случаях, они указаны в Законе о персональ-ных данных и достаточно редки (ст. 6, ч. 1; к примеру: для защиты жизни, здоровья или иных жизненно важных интересов субъекта).

Штраф накладывают, если вы не смогли доказать, на каком основании вы обрабатываете конкретные персональные данные конкретного субъекта. Рекомендации: при сборе персональных данных на сайте необходимо перед отправкой субъектом своих данных предусмотреть, чтобы он обязательно поставил «галочку» под текстом вроде «Согласен на обработку моих персональных данных». Если данные обрабатываются в целях заключения договора и согласия нет – не обрабатывать нехарактерные для договора персональные данные (к примеру, по договору купли-продажи не стоит обрабатывать данные об образовании, профессии и воинской обязанности лица).

Часть 2 статьи 13.11:

«Обработка персональных данных без согласия в пись-менной форме, … когда такое согласие должно быть получено … либо обработка персональных данных с нарушением … требований к составу сведений, включаемых в согласие в письменной форме …», — штраф от 15 до 75 т.р. На что обратить внимание:

Чтобы не получить штраф по данной статье необходимо придерживаться нескольких простых правил:

1. Нельзя публиковать или иным образом вносить в общедоступные источники персональные данные субъекта без его письменного согласия (для такого согласия предусмотрена особая форма).
2. Нельзя обрабатывать биометрические персональные данные или дан-ные, относящиеся к категории специальных, (медицинские данные, вероисповедание, философские взгляды) без письменного согласия.
3. Нельзя передавать персональные данные на территорию иностранных государств, которые не обеспечивают адекватную защиту прав
   субъектов (трансграничная передача) без письменного согласия лица.

Часть 3 статьи 13.11:

«Невыполнение оператором предусмотренной законода-тельством Российской Федерации в области персональных данных обязанности по опуб-ликованию или обеспечению иным образом неограниченного доступа к документу, опреде-ляющему политику оператора в отношении обработки персональных данных, или сведе-ниям о реализуемых требованиях к защите персональных данных», — штраф от 15 до 30 т.р. На что обратить внимание:

Необходимо разместить на сайте Политику обработки персональных

Часть 4 статьи 13.11:

«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных», — штраф от 20 до 40 т.р. На что обратить внимание:

Административная ответственность наступает лишь в случае непредставления оператором информации по запросу субъекта персональных данных, оформленному в соответствии с указанными в законе требованиями. В данном случае комментарии излишни – учитывая, что запрос от субъектов персональных данных большая редкость – легче один раз ответить на письмо субъекта, чем заплатить 20-40 т.р.

Часть 5 статьи 13.11:

«Невыполнение оператором в сроки … требования субъекта персональных данных или его представителя либо уполномоченного органа … об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки», — штраф от 25 до 45 т.р. На что обратить внимание:

Состав аналогичен части 4 ст. 13.11, т.е. сначала должно поступить требование субъекта / его представителя / Роскомнадзора, и если вы не исполните такое требование в срок – то только потом наступает ответственность. Опять же – легче не разбираться в ситуации, удалить недостоверные данные, уведомить об этом в письменном виде субъекта персональных данных, а не выплачивать штраф.

Часть 6 статьи 13.11:

«Невыполнение оператором … обязанности по соблюдению условий, обеспечивающих … сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния», — штраф от 25 до 50 т.р. На что обратить внимание:

Особенность данного состава в том, что штрафа не будет, если в результате нарушения не наступили какие-либо неблагоприятные последствия для субъекта персональных данных, к примеру – злоумышленник взломал базу данных вашей организации и опубликовал адреса всех сотрудников. Учитывая, что такая ситуация крайне редка для компаний среднего размера, а также то, что не всегда такие вещи может обнаружить Роскомнадзор – поводов для беспокойства мало.

На этом вся ответственность заканчивается. Более того, проверки проводит именно Роскомнадзор, как уполномоченный законом орган, а проверить технические моменты могут только ФСТЭК и ФСБ, которые по факту проверок не проводят (за очень редким исключением). Вся информация о плановых проверках содержится на сайте Роскомнадзора , включая организации, которые будут проверять в определённом году. Также за 3 дня Роскомнадзор дополнительно уведомляет о предстоящей проверке. Внеплановые же проводятся только при наличии достаточных оснований и при наличии жалобы конкретного лица (это может быть бывший работник, конкурент, просто клиент, который знает о своих правах). В таком случае Роскомнадзор уведомляет организацию за 24 часа до проверки. Исходя из этого – вероятность проверки крайне мала, а если она и есть – о проверке можно узнать заблаговременно.

Таким образом – ещё раз отмечу, что всё-таки нужно обеспечить для отсутствия претензий со стороны Роскомнадзора:

1. Должна быть опубликована Политика в отношении обработки персональных данных, а если сбор персональных данных осуществляется с помощью сайта – то Политика должна быть опубликована именно на этом сайте (прямое требование ст. 18 Закона о персональных данных).
2. Также под формой сбора персональных данных на сайте должно быть уведомление или «галочка» о том, что субъект согласен на обработку его персональных данных. В том случае, если ввод персональных данных субъектом подразумевает собой заключение договора (оферта) – то такой договор должен быть опубликован на сайте, согласие в этом случае не требуется. Договор предпочтительнее согласия.
3. Не стоит обрабатывать специальные категории персональных данных, биометрические персональные данные и передавать персональные данные клиентов и работников заграницу.
4. Всегда стоит отвечать на запросы и требования субъектов персональных данных (об уточнении, удалении, блокировании их данных). Это легче, чем оплатить штраф.
5. Также стоит подготовить минимально необходимые внутренние документы организации, которые необходимы исходя из требований законодательства и которые может затребовать Роскомнадзор как в рамках проверки, так и в рамках систематического наблюдения (мониторинга).

Стоит отметить, что перечисленные условия – это лишь необходимый минимум и в каждом конкретном случае оператору может потребоваться большая степень обеспечения безопасности обработки персональных данных.

Наконец, следует упомянуть о том, почему оферта лучше, чем согласие и что делать с уведомлением Роскомнадзора о начале обработки персональных данных. Согласно ст. 22 Закона о персональных данных оператор персональных данных до начала обработки обязан уведомить надзорный орган о своих намерениях обрабатывать персональные данные. На основании такого уведомления Роскомнадзор вносит оператора в Реестр операторов персональных данных. Это, в свою очередь, повысит требования к оператору (систематически обновлять сведения о себе и о своей деятельности в Реестре), а также риск попасть под плановую проверку. В ч. 2 ст. 22 Закона о персональных данных предусмотрены исключения, т.е. те условия, при которых можно и не подавать уведомление, не попасть в реестр. К таким исключениям законодатель относит следующие условия:

1. Персональные данные обрабатываются в соответствии с трудовым законодательством (данные работников)
2. Персональные данные обрабатываются в связи с заключением договора (персональные данные клиентов и потенциальных клиентов).
3. Персональные данные обрабатываются при непосредственном участии человека (без использования средств автоматизации – биллинга и т.п.).
4. Некоторые специфические условия – персональные данные членов общественных объединений и религиозных организаций, только ФИО субъектов и т.д., см ч. 2 ст. 22 Закона о персональных данных.

Из указанного перечня следует, что если данные обрабатываются исключительно на основании согласия субъекта (даже не письменного) – то направлять уведомление в Роскомнадзор всё же следует. Так что если, к примеру, сайт вашей организации предусматривает две формы сбора персональных данных – заявка на подключение (ФИО, адрес подключения, паспортные данные), а также – форма обратной связи для вопросов рекомендуется осуществить следующие действия. По заявке на подключение – необходимо, чтобы на сайте была оферта, и таким образом – вводя свои персональные данные, потенциальный абонент уже заключает с вами договор. В форме обратной связи лучше всего будет оставить лишь два поля: электронный адрес и поле, куда непосредственно вводится вопрос лица: таким образом, сбор персональных данных осуществляться не будет.

С другой стороны – даже если не производить указанные выше действия и оставить согласие – сначала Роскомнадзор «любезно» пришлёт требование направить ему уведомление о начале обработки персональных данных. В ответ на него можно направить соответствующее уведомление, либо информационное письмо, в котором обосновать наличие исключений, позволяющих не «включаться» в Реестр операторов персональных данных.

В настоящее время нет большой разницы в действиях Роскомнадзора в зависимости от того, включена компания в Реестр или нет, так как требования законодательства в области персональных данных необходимо соблюдать в обоих случаях.

При выборе мер по обеспечению соблюдения требований законодательства в области персональных данных необходимо учитывать множество обстоятельств, включая размеры организации, качество внутренней документации и форм договоров, а также потенциальный уровень риска попасть в поле зрения надзорного органа.

В настоящее время контроль и надзор осуществляется административным органом в двух формах. Во-первых, в виде проверки (плановой или внеплановой). Плановые проверки проводятся в отношении лиц, сведения о которых содержатся в Реестре операторов персональных данных, который ведёт Роскомнадзор (далее – «Реестр»). Сведения об операторе заносятся в Реестр только после отправки таким оператором уведомления о начале обработки персональных данных. Вследствие того, что направление указанного уведомления существенно повышает риск попасть под проверку надзорного органа – мы не рекомендуем своим клиентам направлять уведомление, особенно ввиду того, что при грамотно составленной документации это абсолютно законно. Вместе с тем при наличии письменных запросов территориального управления Роскомнадзора, следует под угрозой штрафа включиться в Реестр.

Внеплановые проверки могут проводиться по нескольким основаниям, наиболее частым из которых, на сегодняшний день, является подача жалобы клиентом и третьим лицом.

Также возможны мероприятия систематического наблюдения, а именно: осмотр сайта на предмет соблюдения законодательства в области защиты персональных данных.

В нижеуказанной таблице отражены проверки Роскомнадзора по Персональным данным.

В 2018 уже проведено 832 плановых и 49 внеплановых проверок и 2118 мероприятий систематического наблюдения. По результатам: проверок выдано 768 предписаний, а по результатам наблюдений — 569 предписаний. За 2018 год Роскомнадзор направил в суды 6 419 протоколов об АП, Сумма штрафов по которым 3, 971 миллионов рублей (из Публичного доклада Роскомнадзора за 2018 год).

Очевидно, что чем больше клиентов, т.е. чем крупнее организация, тем больше шанс спровоцировать недовольство абонентов и вследствие этого получить жалобу. В этой связи необходимо выстроить наиболее эффективный и качественный процесс работы с физическими лицами, максимально соблюдать требования законодателя. Для таких организаций, которые работают с большим количеством абонентов, которые включены в Реестр, а также в отношении которых есть основания ожидать «интерес» со стороны административного органа, мы готовим стандартный пакет документов. В него входит ряд локальных, технических и публичных актов, которые позволяют минимизировать риски административных штрафов при детальной документарной проверке Роскомнадзора на предмет соблюдения законодательства в сфере персональных данных (список ниже).

Если шанс жалобы абонента на вашу организацию минимален и уведомление в Роскомнадзор о начале обработки персональных данных не подано – то вероятность плановой / внеплановой проверки Роскомнадзором вашей организации на порядок ниже. Зато есть большая вероятность попасть под мероприятие систематического наблюдения (мониторинг). При мониторинге у Роскомнадзора нет возможности ознакомиться с внутренним положением дел в организации, они смотрят лишь на внешнюю деятельность (в 99% случаев – веб-сайт, большинство штрафов и предписаний при мониторинге выносится за несоблюдение требований законодательства на сайте). Однако и за нарушения на сайте – выдают штраф от 15 до 30 тысяч рублей Более того, мало отделаться штрафом, Роскомнадзор также уже сейчас запрашивает у Оператора описание мер, предпринятых для устранения нарушения под угрозой штрафа в размере от 3 до 5 тысяч рублей за не исполнение предписания по ст. 19.7 КоАП РФ.

Для отсутствия штрафов необходимо подготовить пакет документов, который позволит не допустить внешние нарушения законодательства.

Наиболее частыми нарушениями, выявленными Роскомнадзором за 2018 год являются:

• ОТСУТСТВИЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
• НЕИЗДАНИЕ И/ИЛИ НЕОПУБЛИКОВАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ; — НЕИЗДАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ЛОКАЛЬНЫХ АКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
• НЕОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ/АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
• НЕОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОКУМЕНТАМИ, ОПРЕДЕЛЯЮЩИМИ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЛОКАЛЬНЫМИ АКТАМИ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И/ИЛИ НЕПРОВЕДЕНИЕ ОБУЧЕНИЯ УКАЗАННЫХ РАБОТНИКОВ.

Укажем минимально необходимые действия для обеспечения защиты персональных данных. Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

Что же необходимо, и что требует надзорный орган на практике? Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных…Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 15-30 тысяч рублей. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

В рамках подготовки соответствия Системы защиты персональных данных Оператора связи законодательству Российской Федерации, необходимо подготовить нижеследующие документы:

• Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
• Положение о комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
• План мероприятий по приведению в соответствие с требованиями законодательства в области Персональных данных.
• Приказ об утверждении списка лиц, имеющих доступ к обработке Персональных данных.
• Форма Обязательства о неразглашении Персональных данных.
• Приказ о проведении внутренней проверки в области Персональных данных.
• Перечень Персональных данных, подлежащих защите.
• Форма согласия абонента на обработку Персональных данных.
• Форма согласия сотрудника на обработку персональных данных.
• Приказ о выделении помещений для обработки Персональных данных.
• Перечень информационных систем Персональных данных.
• Технический паспорт информационных систем Персональных данных.
• Приказ о назначении ответственного администратора информационной безопасности.
• Инструкция администратора информационной безопасности.
• Приказ об утверждении Положений в области Персональных данных.
• Положение об обработке Персональных данных (Политика).
• Положение о защите Персональных данных.
• Положение о хранении Персональных данных.
• Приказ о классификации информационных систем Персональных данных.
• Акт классификации информационных систем Персональных данных.
• Приказ об утверждении Инструкции пользователя информационных систем Персональных данных.
• Инструкция пользователя информационных систем Персональных данных.
• Порядок резервирования и восстановления Персональных данных.
• План внутренних проверок в области Персональных данных.
• Регламент по реагированию на запросы субъектов Персональных данных.
• Инструкция о порядке обращения с носителями Персональных данных.
• Правила внутреннего контроля в области Персональных данных.

Вход для клиентов

Федеральным законом от 07.02.2016 № 13-ФЗ (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений. С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями

style=»text-align: center;»>

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

Норма ст. 13.11	Состав административного правонарушения	Размер штрафа, тыс. руб.
Часть 1	Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50. Вместо штрафа может быть сделано предупреждение
Часть 2	Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*	Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75
Часть 3	Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30. Вместо штрафа может быть сделано предупреждение
Часть 4	Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40. Вместо штрафа может быть сделано предупреждение
Часть 5	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45. Вместо штрафа может быть сделано предупреждение
Часть 6	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Подчеркнем, что новые административные штрафы будут применяться с 1 июля 2017 года.

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

К категории персональных данных относятся, к примеру, такие сведения:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

• в паспорте или ином документе, удостоверяющем личность;
• в трудовой книжке;
• в документах о воинском учете, образовании, составе семьи;
• в справке о доходах с предыдущего места работы;
• в анкете, заполняемой при трудоустройстве;
• в личной карточке работника (форма Т-2);
• в свидетельствах о заключении брака, рождении ребенка;
• в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

Цели обработки персональных данных

→

обеспечение соблюдения законодательства; содействие работникам в трудоустройстве, получении образования и продвижении по службе; обеспечение личной безопасности работников

Основные принципы обработки персональных данных

→

обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей; содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки; при обработке данных должны быть обеспечены их точность и достаточность, а в необходимых случаях – актуальность по отношению к целям обработки; хранение данных должно осуществляться в форме, позволяющей определить их субъекта, не дольше, чем этого требуют цели их обработки*

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ. Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

• перечень сведений, относимых к категории персональных данных;
• какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
• перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
• кто и в каком порядке имеет доступ к полученным персональным данным;
• меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
• порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
• процедуру уточнения персональных данных работников, их блокировку и уничтожение;
• условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

• без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
• либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
3. Наименование или Ф. И. О. и адрес работодателя.
4. Цель обработки персональных данных.
5. Перечень персональных данных, которые подлежат обработке.
6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора. По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены	Источник
Из документов (сведений), предъявляемых при заключении трудового договора	Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ
По результатам обязательного предварительного медицинского осмотра о состоянии здоровья	Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора
Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)	Пункт 2 Разъяснений Роскомнадзора
От кадрового агентства, действующего от имени соискателя на вакантную должность	Пункт 5 Разъяснений Роскомнадзора
Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц	Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*	Источник
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
Во внебюджетные фонды	Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы и военные комиссариаты	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры и правоохранительных органов	Абзац 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Отказ от предоставления персональных данных

Составление отказа от предоставления персональных данных необходимо в случае, когда гражданин не имеет желания давать кому-либо личную информацию.

ФАЙЛЫ
Скачать пустой бланк отказа от предоставления персональных данных .docСкачать образец отказа от предоставления персональных данных .doc

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

По большому счету, согласие на предоставление персональных данных требуется только в отношении специальных и биометрических сведений. Если говорить проще, общедоступная информация, т.е. информация из паспорта, ИНН, СНИЛС, может использоваться совершенно свободно, конечно, в рамках закона и без нарушения этических и моральных норм.

А вот если кому-либо понадобились данные, касаемые религии или национальности человека, его здоровья или судимостей, взаимоотношений с работодателями (текущим и бывшими) и т.п. очень личные сведения – их можно получать только с согласия гражданина, оформленного в письменном виде.

В соответствии с законодательством РФ, любой человек имеет полное право отказаться от предоставления подобного рода информации, если считает, что она может привести к ущемлению его прав и интересов или даже вовсе без объяснения причин. Никакого наказания за такой отказ не предусмотрено.

И даже если представитель какого-либо учреждения требует предоставления таких сведений, угрожая отказом в предоставлении необходимых услуг (образовательных, медицинских и т.д.), его действия легко можно обжаловать как на уровне руководства, так и в прокуратуре или суде.

Единственное, что нужно помнить, что при обращении в различные муниципальные и бюджетные структуры, а также при трудоустройстве существует установленный законом перечень документов, а значит и персональных сведений, без которых заключение договоров (гражданско-правовых, трудовых и т.д.) будет просто-напросто невозможно.

Если есть сомнения в том, что работник той или иной организации требует документы сверх установленного законом списка, следует обратиться за разъяснениями к юристам или ознакомиться с соответствующими статьями российского законодательства.

С того момента, как персональные данные попадают во «вторые» руки, вся ответственность за их огласку возлагается на того, кто их получил.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров – он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Как написать отказ

В том случае, если перед вами встала необходимость по составлению отказа от предоставления персональных данных, а вы не знаете, как сделать это правильно и без ошибок, прочитайте расположенные ниже рекомендации и посмотрите пример – на его основе у вас без особых усилий получится сформировать собственный документ.

Прежде всего, дадим общую информацию, которая касается всех подобного рода бумаг. Сейчас единого стандарта такого отказа нет, что фактически обозначает то, что писать его разрешается в свободной форме. Также можно сделать его по типу разработанного и утвержденного внутри учреждения шаблону документа, если конечно, таковой имеет место быть.

Для отказа подойдет как обычный лист бумаги любого удобного формата (предпочтительно А5 или А4) или фирменный бланк (как правило, если такое требование устанавливается внутри компании). Отказ допустимо набирать на компьютере (с обязательным последующим распечатыванием), либо же писать собственноручно – в случае необходимости доказать его подлинность этот фактор будет иметь значение.

Отказ нужно делать в двух одинаковых экземплярах, один из которых следует передать адресату, второй – оставить у себя, предварительно заручившись на нем отметкой о вручении копии представителю учреждения.

Образец отказа от предоставления персональных данных

По своему составу отказ должен отвечать некоторым нормам делопроизводства, а по тексту содержать ряд определенных сведений. К последним можно отнести:

• должность, ФИО руководителя;
• наименование организации;
• ФИО автора отказа;
• его паспортные и контактные данные (для связи).

Это будет «шапка» документа, которая всегда расположена вверху бланка, слева или справа.

В основной части следует обозначить:

• свое несогласие с предоставлением персональных данных;
• обоснование отказа (здесь нужно сослаться на норму закона или Конституции РФ, которые в равной степени дают такое право);
• если вы были ознакомлены с последствием своего отказа, об этом следует сделать соответствующую отметку;
• также дать отметку о том, что за вами остается возможность обжаловать возможные санкции в суде.

Остальную информацию можно вносить в зависимости от потребностей и индивидуальных обстоятельств.

Бланк должен быть обязательно датирован и подписан тем, кто его составил – без его автографа он не обретет законного статуса.