Ответственность за разглашение персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Ответственность за разглашение персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.


Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Разглашение и распространение персональных данных без согласия субъекта

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.

Что такое согласие на обработку персональных данных?

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Читайте также:  Дарение доли земельного участка

Согласие на обработку ПД должно быть оформлено:

  • письменно, если того требует закон (см. выше);
  • в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

  • Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
  • название организации или Ф.И.О. и адрес оператора;
  • цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
  • перечень ПД, которые будет обрабатывать оператор;
  • информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
  • перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
  • срок, на который выдано согласие;
  • способ отзыва согласия;
  • подпись.

Какие дополнительные требования должен соблюдать оператор персональных данных

Обязанности оператора персональных данных регулирует глава 4 152-ФЗ. Среди требований в перечень включена необходимость создания политики в отношении обработки указанных сведений. Данная мера применима только к юрлицам. По правилам документ публикуют в свободном для ознакомления доступе. Если этого не сделать, компании грозит штрафное взыскание согласно ч. 3 ст. 13.11 КоАП РФ, а именно:

  • от 3 тыс. до 6 тыс. рублей — для должностных лиц;
  • от 15 тыс. до 30 тыс. рублей — для организации.

Документ, определяющий политику оператора по обработке персональных данных, должен включать в себя:

  • общее положение;
  • цель сбора персональной информации;
  • правовые основания для совершения операции;
  • объём, категория субъекта и обрабатываемых сведений;
  • порядок и условия работы;
  • актуализацию, исправления, удаление данных и ответы на запрос субъекта о доступе.

Относится ли номер телефона клиента к его персональным данным?

Порядок работы с персональными данными физического лица утвержден в федеральном законе от 27.07.06г. «О персональных данных» №152-ФЗ.

В частности, в статье 3 этого закона есть ряд определений, которые помогут разобраться, относится ли номер телефона или адрес электронной почты к личным данным физического лица:

  • прежде всего, под персональными данными понимается информация любого рода, которая относится прямо или косвенно к определенному или определяемому физическому лицу;
  • под обработкой персональных данных понимается любое действие (операция) или их совокупность, которые совершаются с этими данными с помощью средств автоматизации или без них. В перечень указанных действий включается, в частности, сбор, записывание, накопление, хранение, систематизация, обновление, передача и иные операции с персональными данными.

Таким образом, номер телефона или электронная почта клиента подпадают под разряд персональных данных. А получение этих сведений продавцом, чтобы передать клиенту на основании статьи 1.2 новой редакции закона №54-ФЗ кассовые чеки в электронной форме, будет считаться сбором и записыванием персональных данных.

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.

Как передать данные третьим лицам:

  1. Определиться с набором сведений, которые будут переданы.
  2. Дать согласие на передачу.
  3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Пересылка персональных данных по электронной почте

Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящей Инструкции именуются — СКЗИ. К СКЗИ относятся:

  • реализующие криптографические алгоритмы преобразования информации, аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
  • реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
  • реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и «электронной подписи»;
  • аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.

Понятие коммерческой тайны

Понятие коммерческой тайны (КТ) регулируется в нашей стране законом «О коммерческой тайне» от 29.07.2004 № 98-ФЗ. КТ — это особый режим, который сохраняет конфиденциальность информации, обладатель, которой может получить какую-либо коммерческую выгоду, например, получить дополнительные прибыли или сократить расходы, занять долю рынка и т. д. Данные, которые попадают под КТ, могут быть любого вида и должны иметь коммерческую ценность в связи с их засекреченностью от третьих лиц.

Читайте также:  сколько можно сидеть на больничном непрерывно при онкологии по трудовому кодексу

Кто же вправе определять, какая информация может попадать под режим КТ, и есть ли ограничения на это? Согласно п. 1 ст. 4 закона № 98-ФЗ обладатель информации имеет право отнести эту информацию к попадающей под режим КТ. Обладателем информации является тот, кто владеет ей на законных основаниях. Обладатель может дать доступ к секретной информации на условиях неразглашения, может передать третьему лицу по договору, может предоставить госорганам. Однако существует установленный законодательно перечень данных, распространение которых не может ограничиваться КТ.

Результаты медицинских тестов – это врачебная тайна

Начнем с того, что сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, а также иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну (ч. 1 ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее – ФЗ № 323)).

Очевидно, результат теста можно отнести как к сведениям о диагнозе пациента, так и к иным сведениям, полученным при медицинском обследовании гражданина. Более того, согласно пп. 4 и 3 ст. 2 ФЗ № 323, диагностика заболевания также включена в понятие «медицинской помощи», следовательно даже сам факт обращения гражданина за проведением тестирования может быть отнесен к сведениям, составляющим врачебную тайну (не говоря уже о результатах такого тестирования).

Здесь необходимо уточнить, что врачебная тайна является специальной категорией персональных данных. Следовательно, обращение со сведениями, составляющими врачебную тайну, также регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152). Далее для более глубокого понимания вопроса немного разберемся с понятиями:

  • Так, согласно подпункту 1 статьи 3 ФЗ № 152, любая информация, относящаясяк прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) является персональными данными.
  • В свою очередь, исходя из пункта 1 статьи 10 ФЗ № 152, персональные данные,касающиеся здоровья, относятся к специальной категории персональных данных (ПД).
  • Медицинская организация (в том числе лаборатория, берущая тест) является оператором ПД (см. подпункт 2 статьи 3 ФЗ № 152).
  • Любые действия, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение относятся к обработке персональных данных.

Таким образом, передача результатов диагностических тестов по электронной почте является обработкой персональных данных. Медицинская организация в данном случае выполняет функции оператора ПД и должна соответствовать определенным требованиям, указанным в ФЗ № 152. В том числе:

  1. Подпункту 1 пункту 1 статьи 6, согласно которому обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его ПД. Обращаем внимание, что в отношении специальной категории ПД, касающихся здоровья, такое согласие дается в письменной форме (подпункт 1 пункта 2 статьи 10 ФЗ № 152).
  2. Статье 19, согласно которой оператор при обработке ПД обязан принимать необходимые меры для защиты ПД (подробнее об этом далее).

Многие медицинские организации ограничиваются взятием лишь письменного согласия на обработку персональных данных. Однако, как видим, этим требования законодателя к операторам ПД не ограничиваются. В этом, собственно, и кроется ответ на основной вопрос – законно ли передавать результаты тестов по электронной почте или СМС. Давайте подробно рассмотрим статью 19 ФЗ № 152.

Персональные данные на корпоративных сайтах компаний

На сайтах многих компаний размещены биографии их топ-менеджеров с фотографиями (наша команда!) или фото с указанием фамилии, имени, должности, контактной информации тех сотрудников, которые работают с клиентами во фронт-офисе. В терминах ФЗ-152 такое размещение – перевод персональных данных, содержащих биометрические сведения (фото), в категорию общедоступных. Это можно сделать только с письменного согласия субъекта, причем согласие должно содержать все предусмотренные законом сведения: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта персональных данных, цель обработки персданных, перечень персданных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, а также срок, в течение которого действует согласие и порядок его отзыва. Представляете себе документик?

Но у собственных работников такое согласие получить еще можно, хотя процедура представляется довольно бессмысленной, учитывая, что те же топ-менеджеры свои биографические справки пишут, как правило, сами, а выбранные для размещения фото согласуются с ними.

Читайте также:  Как составить исковое заявление

Гораздо более запутанной процедура становится в иных случай размещения информации о гражданах в интернете и организации ее использования.

Ответственность за распространение номера телефона и адреса электронной почты

Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).

Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • на граждан в размере от 6 000 до 10 000 руб.;
  • на должностных лиц — от 20 000 до 40 000 руб.;
  • на юридических лиц — от 30 000 до 150 000 руб.

Повторное совершение указанного административного правонарушения влечет наложение административного штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

  • на граждан в размере от 10 000 до 20 000 руб.;
  • на должностных лиц — от 40 000 до 100 000 руб.;
  • на индивидуальных предпринимателей — от 100 000 до 300 000 руб.;
  • на юридических лиц — от 300 000 до 500 000 руб.

Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).

Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).

Подготовлено на основе материала
В.И. Неклюдова
Государственная инспекция труда
в Нижегородской обл.

  • персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
  • если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
  • у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
  • все персональные данные надо хранить только на российских серверах;
  • специальные и биометрические персональные данные можно собирать только по письменному согласию;
  • Роскомнадзор может прийти за каждым.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
  • для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *