Ответственность за разглашение персональных данных
Содержание:
- Содержание заявления о разглашении
- Персональные данные
- Об операторе по обработке персональных данных
- Какая информация относится к персональным данным?
- Что такое «персональная информация»?
- Почему закон поменялся?
- Когда брать согласие не нужно.
- Пошаговая инструкция по составлению
- Закон о персональных данных
- Изменения в законе о персональных данных с 1 марта 2021 года
- В каких случаях необходимо проходить аттестацию и сертификацию?
- Что такое разглашение информации?
- Что еще можно требовать?
- Что такое персональные данные
Содержание заявления о разглашении
Заявление составляется в произвольной форме, но если за правонарушение следует уголовное наказание, то оно должно быть составлено строго по правилам ГПК.
Необходимо ссылаться на законодательные акты и доказательные документы.
В заявлении необходимо указать следующие сведения:
- данные заявителя;
- о лице либо организации, что разгласили персональные данные;
- описание правонарушения;
- доказательства (фото- и видеоподтверждение, скриншоты, переписка и т.д.).
Скачать заявление в Роскомнадзор о распространении персональных данных можно здесь.
Чем полнее будет доказательная база, тем выше вероятность отстоять свою правоту с помощью закона.
Персональные данные
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).
К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).
Об операторе по обработке персональных данных
Кто является оператором персональных данных?
В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.
Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.
Кого должна уведомить УО о том, что она является оператором персональных данных?
Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.
В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.
Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.
Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.
Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.
Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.
Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.
Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.
Какая информация относится к персональным данным?
Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д.
Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям.
К перечню основных персональных данных относятся:
- ФИО субъекта;
- место постоянного (временного) проживания;
- дата рождения;
- любые данные о семейном, финансовом положении;
- любые данные, связанные с родом деятельности, заработком, образованием.
Все персональные данные принято делить на четыре группы:
1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках.
2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д.
3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК.
4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.
Персональными данными физических лиц по закону считаются:
- ФИО;
- ИНН и дата рождения;
- гражданство согласно гражданскому паспорту и место рождения;
- данные о регистрации и фактическом месте жительства;
- данные о родственниках и супругах;
- данные о дееспособности, свидетельство о смерти;
- сведения о наличии образования;
- сведения о пенсионных доходах;
- данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
- данные о налоговых платежах;
- информация о воинской обязанности.
Персональными данными юридических лиц по закону считаются:
- наименование юрлица;
- юрадрес и организационно-правовая форма;
- местоположение юрлица;
- ОГРН;
- ИНН и КПП;
- номер расчетного счета.
К данному перечню также можно причислить сведения о руководителе.
Что такое «персональная информация»?
С 8 июля 2006 года в ФЗ был опубликован отредактированный документ о такого рода данных, где предоставлены актуальные определения правового акта, его структурное взаимодействие с другими законами. Последняя редакция его была проведена в 2017 году, начинался с общих положений, описывал условия возможной обработки информации, права граждан, обязанности операторов, надзор госструктур.
Передача третьим лицам персональных данных – что под этим подразумевается? Это любые сведения, напрямую или косвенно относящиеся к субъекту. Разглашение информации должно соответствовать определенным принципам, чтобы избежать возможных взысканий:
- следование целевому назначению, допускаемому законом;
- справедливость и законность сбора данных;
- исключение объединения целей и назначений при использовании информационных баз;
- направленный сбор сведений, недопустимость их избыточности;
- актуальность информирования;
- допустимый период хранения, после чего данные обезличиваются и удаляются.
Конфиденциальность
При любом целевом сборе информации должно присутствовать согласие на передачу персональных данных третьим лицам. Без официального подписанного документа никто не имеет права проверять те или другие данные о личности. ФЗ предписывает сохранение полученных сведений, поэтому операторы и консультанты, имеющие доступ к данным, не имеют права их распространять без согласия субъекта. Анализ информации осуществляется только по письменному разрешению. При нарушении правил и принципов разглашения персональных данных, а также конфиденциальности имеющихся сведений о гражданине, на представителя накладывается ответственность определенного характера. Чаще всего штраф, а в редких исключительных случаях – более серьезное наказание.
Телефонный звонок
Передача третьим лицам персональных данных, а именно телефонного номера и сопутствующих сведений о его владельце, включая подробное описание финансового достатка и семейного положения, уровня образования, также считается нарушением закона.
Подобные случаи могут возникнуть, когда кредитные компании или фирмы, желающие заполучить новых клиентов, могут попросить дать информацию о знакомых, родственниках, которых может заинтересовать предлагаемая услуга. Многие, не подозревая ничего плохого, без сомнений выкладывают консультантам необходимые сведения о номерах телефонов, их владельцах, даже уровне заработка. На первый взгляд, обыденная информация, но обнародованная без согласия владельца может стать частью административного правонарушения – статья 13.11 КоАП РФ, за пренебрежение законом 152-ФЗ «О персональных данных». Чтобы не стать заложником неловкой ситуации, необходимо избегать передачи персональных данных третьим лицам без согласия.
Банковское дело
Чаще всего неосознанно передаются данные, под собой подразумевающие банковские сведения, изначально не предназначающиеся для огласки, что уже трактуются ч. 2 ст. 183 УК РФ «О незаконном разглашении сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца…». При получении кредита или, участвуя в каких-либо других финансовых сделках, необходимо согласие человека, чью кредитную историю планируется проверить. Иначе проверка данных не будет юридически правовой, и может создать угрозу интересам вкладчиков и кредиторов. Клиент банка не может, придя в соответствующий отдел или находясь на приеме у консультанта, «автоматически» давать согласие на систематизацию, сбор, распространение и передачу третьим лицам персональных данных. Для этого существует специальный документ – согласие, которое предоставляется на подпись, прежде чем отправить в базу какие-либо сведения клиента.
В случае, когда на документе стоит подпись, анализ персональных данных, а именно внесение информации в бюро кредитных историй о заемщике считается законной. После этого работает ст. 857 ГК РФ, по которой банк дает гарантию в сохранении тайны о банковском счете или вкладе, а также о других операциях по счету и иных сведениях. При несоблюдении правил и сопутствующем разглашении банком какой-либо информации – передаче третьим лицам персональных данных клиента, от кредитной организации можно потребовать возмещения понесенных убытков
Важно, чтобы такие спорные моменты были прописаны в договоре, иначе нет смысла обращаться в суд
Почему закон поменялся?
Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2020 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2019 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки.
Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.
Когда брать согласие не нужно.
По ч.1 ст. 6 ФЗ № 152 без согласия человека сведения о нем могут быть разглашены в случае:
- Его участия в судебном процессе.
- Обработки данных в госорганах, регистрации на «Госуслугах», предоставлении муниципальных услуг.
- Когда текущая ситуация требует мгновенных действий, чтобы сохранить жизнь человеку, а он находится без сознания или по иным причинам не может дать согласие.
- Сбора статистических данных и при последующем обезличивании результатов.
- Это предусмотрено по закону.
- Деятельности СМИ, творческой или научной работы, но при условии, что это не нарушает интересы самого гражданина.
В остальных случаях разглашение сведений является нарушением закона. Наказание за это назначается по совокупности вреда, которое было причинено человеку.
Пошаговая инструкция по составлению
- «Шапка». Некоторые компании структурируют согласие по форме заявления, некоторые обходятся без верхнего углового блока. В первом случае справа вверху указывается адресат – руководитель компании или лицо, отвечающее за обработку персональных данных.
Затем данные работника (только ФИО, или с указанием должности, или адреса, паспортных или контактных данных в случае соискателя). После по центру непосредственно название документа: «Согласие на обработку персональных данных работника».
- Информация о субъекте. Обязательно указать фамилию, имя и отчество полностью, адрес, номер и серию паспорта, дату его получения и орган выдавший документ.
- Законодательное основание. Согласно ст.9 Федерального закона «О персональных данных».
- Информация о должностном лице, ответственном за работу с персональными данными. Полное название и адрес компании, ФИО должностного лица, получающего согласие. Если обрабатывать данные будет сторонний подрядчик – аналогичные сведения о нем.
- Цель обработки персональных данных. Трудовой кодекс разрешает только цели, связанные с исполнением законодательства, содействием в трудоустройстве, обучении и карьерному росту сотрудника, обеспечением безопасности на рабочем месте и контроля над качеством выполнения работы.
Например, в качестве цели могут быть указаны оформление и начисление заработной платы, предоставление отчетности, обмен информации с Пенсионным фондом и другими страховыми структурами и прочее.
- Перечень персональных данных. Перечислите конкретные категории данных (ФИО, паспортные данные, дата рождения, информация об образовании и т.д.) на обработку которых соглашается работник.
- Перечень действий с данными и способ обработки. Например, действиями могут быть сбор, систематизация, хранение, а способ – автоматизированный или неавтоматизированный.
- Срок действия. В течение трудового договора и 75 лет по его истечению, так как после увольнения работодатель несколько лет, в зависимости от сферы деятельности, должности и прочего, должен хранить личное дело, в котором содержится соответствующая информация, а затем передать его в архив.
- Способ отзыва, если иное не установлено федеральным законом. По закону субъект может отозвать разрешение на обработку его данных в любой момент. Укажите, следует ли это делать письменно, и в какой период компания обязуется отреагировать.
- Подпись субъекта. Внизу бланка ставится личная подпись работника и дата подписания согласия.
- Скачать бланк согласия работника на обработку персональных данных
- Скачать образец согласия работника на обработку персональных данных
- Скачать бланк согласия работника на передачу персональных данных третьим лицам
- Скачать образец согласия работника на передачу персональных данных третьим лицам
Вне зависимости от того, является ли ваша компания оператором персональных данных, или нет, закон прямо накладывает на работодателя определенные обязательства в отношении личной информации о работниках (подробнее об обязательствах о неразглашении и других читайте тут).
Любой сотрудник, считающий, что его сведения о нем используются неправомерно, имеет право обратиться за защитой в Роскомнадзор.
Подробнее о том, что такое положение о защите персональных данных работника, читайте тут.
Законодательство предусматривает административную ответственность за нарушения в виде штрафа до 75 тысяч рублей. Сумма, возможно, не пугающая, но стоит понимать, что при проверке нарушение и штраф могут оказаться не единичными. Благоразумнее здраво оценить, под какие нормы и требования подпадает конкретно ваша компания, и оформить все надлежащим образом.
Закон о персональных данных
Нормативный акт №152 был принят ещё в 2006 году и направлен он на защиту личной информации. По норме закона личная (персональная) информация – это любые сведения о человеке, например:
- место работы;
- зарплата;
- адрес или телефон.
И эти сведения должны быть защищены.
По третьей статье 152-го закона распространение персональных данных – это раскрытие личной информации посторонним. Например, обсудил бухгалтер размеры премий сотрудников с работниками столовой, значит, разгласил личную информацию.
Внимание! Важно: по смыслу 152-го закона передача персональных данных – это не только упоминание чужих личных сведений в разговоре, но и распространение:
- по телефону;
- по факсу;
- в интернете.
А по 24 статье закона болтуну грозит административная и даже уголовная ответственность!
Изменения в законе о персональных данных с 1 марта 2021 года
Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.
Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.
2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.
3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.
5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.
6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.
7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.
Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.
Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.
В каких случаях необходимо проходить аттестацию и сертификацию?
Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.
Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.
Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.
Что такое разглашение информации?
Каждый человек или организация имеют право, а в ряде случаев просто обязаны, предпринять все доступные меры к охране конфиденциальной информации. К примеру, организация может потребовать удовлетворения иска относительно разглашения секретных данных только в том случае, если её руководством были приняты все разумные меры к её сохранности.
К таким мерам относятся:
- Хранить документацию, содержащую конфиденциальные данные в закрытых помещениях с ограниченным доступом или в сейфах.
- Электронные данные должны защищаться паролями или электронными ключами доступа.
- Все подобные документы должны быть промаркированы грифами «секретно», «только для внутреннего пользования». Это как к печатной, так и к электронной документации.
- В трудовом договоре, заключаемом с сотрудниками организации, должен быть прописан отдельный пункт о сохранении корпоративной тайны.
- Внутренним приказом должен быть определён круг работников, которым разрешён доступ к закрытой информации и несущих ответственность за сохранность тайны.
Разглашение конфиденциальной информации и персональных данных подразумевает преступные действия, или же бездействие определённого лица, имеющего к ним доступ, в результате чего закрытая информация попала в распоряжение третьих лиц без разрешения на то её правообладателя. В качестве примера разглашения закрытых данных можно привести:
- Единовременная передача сотрудником коммерческой информации компании-конкуренту за определённое вознаграждение.
- Предоставление доступа к закрытым данным злоумышленникам. При этом доступ может быть предоставлен как умышленно, из корыстных побуждений, так и нечаянно, в результате халатного отношения работником к своим обязанностям.
- «Излишняя болтливость» работника, в результате чего секретные данные становятся известны окружающим.
- Регулярное тайное хищение закрытых сведений с целью их продажи и получения иных выгод. Сюда относится такое преступление, как «промышленный шпионаж», который может квалифицироваться как уголовное деяние.
Что еще можно требовать?
Многих граждан, чьи личные сведения были разглашены, совсем не устраивает стандартное наказание, которое может быть назначено за подобное преступление. В связи с этим пострадавший имеет полное право подать на обидчика в суд, потребовав у него выплаты компенсации. При этом требовать можно исключительно компенсацию за моральный ущерб, так как при разглашении сведений физического вреда не наступает.
Компенсация за моральный ущерб – понятие достаточно сложное. Это денежное взыскание, которое пострадавший может требовать за причиненные ему страдания и неудобства, вызванные разглашением его персональных данных или личных сведений. Потребовать её можно как во время разбирательства, подав ходатайство, так и с помощью отдельного самостоятельного иска. При этом размер её определяете вы сами, но он может быть уменьшен как по требованию суда, так и по просьбе ответчика. Если вы хотите подавать требования о выплате компенсаций за моральный ущерб, то полезным будет помощь юриста – только он сможет установить точный размер и подготовить бумаги.
Что такое персональные данные
Закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.
В частности, ими могут быть получены:
- данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
- данные о родственниках человека;
- прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).
Подробнее о том, какую именно информацию в российской судебной практике принято считать персональными данными, читайте в «КонсультантПлюс». Если у вас еще нет доступа к системе, вы можете получить его на 2 дня бесплатно. Или закажите актуальный прайс-лист, чтобы приобрести постоянный доступ.
Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.
В организациях доступ к ПД обычно в силу служебных обязанностей имеют лишь руководители, сотрудники бухгалтерии, юридической и кадровой служб, а в государственных (особенно правоохранительных) и муниципальных органах он может быть и у множества рядовых сотрудников. Если такие работники будут использовать соответствующие ПД не по назначению, их может ожидать ответственность по ч. 2 или 3 ст. 137 УК РФ (наказание по которым гораздо строже, чем по ч. 1).