Куда обращаться при нарушении закона о персональных данных
Перейти к содержимому

Куда обращаться при нарушении закона о персональных данных

  • автор:

Защита персональных данных

«Бачинский и партнеры»: информационная безопасность

Вопрос о защите персональных данных граждан с каждым годом становится в Украине все более актуальным, причина – рост рисков утечки личной информации и изобретательность мошенников всех мастей. Учреждения и компании обязаны обеспечить надежную защиту, и здесь на первый план выходят услуги опытных юристов, знающих, как правильно организовать работу, чтобы защитить права клиентов при ведении бизнеса, избежать рисков из-за нарушений в сфере хранения и обработки личной информации.

Адвокатское объединение «Бачинский и партнеры» специализируется на налоговом, миграционном, корпоративном и ІТ праве, консультирует по вопросам недвижимости, участвует в разрешении споров. Мы оказываем грамотные юридические услуги по защите персональных данных, как того требует международное законодательство, помогаем с разрешением на обработку личной информации, даем консультации, как адаптировать документы под GDPR.

Зачем похищают личные данные?

Причины краж такой информации самые разные – можно ввести платежные данные на фишинговой странице, вынудить скачать вредоносные файлы, получить доступ к личным аккаунтам. Последнее зачастую приносит крайне неприятные последствия, если аккаунт используется для работы или рекламы своего товара. С такой информацией преступники способны подобрать механизм атаки на друзей и знакомых, выложить заведомо ложную или компрометирующую информацию.

Професійна Юридична консультація

Наші спеціалісти нададуть професійну консультацію.

Добывают сведения с помощью взлома базы данных компаний, поэтому многие руководители стали уделять большое внимание кибер-защите. Еще один способ – фишинговые рассылки, достаточно «клюнуть» на одно письмо, чтобы попасться на крючок. Случаются утечки, когда подкупают сотрудников фирм и получают доступ к базе, но такой подход оправдан только при крупных операциях. Опытные мошенники применяют еще такой ход, как специальные запросы в поисковиках – из-за неправильной настройки сервер иногда дает поисковым системам индексировать данные.

Можно ли себя обезопасить?

Разумеется, заботиться о безопасности своих сотрудников обязано предприятие, но если вы уверены, что нужного внимания этому вопросу не уделяется или работаете на себя, то решать проблему защиты придется самостоятельно. Полностью обезопасить себя невозможно, поскольку чаще всего информацию воруют при взломах баз данных, но некоторые шаги в этом направлении вполне реально сделать. Особенно это касается специалистов, которые хранят в личном компьютере или ноутбуке важную рабочую информацию, но с того же устройства заходят в социальные сети и посещают всевозможные сайты, форумы в интернете.

Самые простые способы:

  • при регистрации на сайтах указывать только почту и пароль, без номера телефона;
  • использовать разные пароли для разных сервисов и периодически их обновлять;
  • настроить двухфакторную аутентификацию, она блокирует доступ чужих к вашим аккаунтам.

Если на сервисе требуют сканы документов, рекомендуется сделать запись, когда и для какого сервиса они были сделаны, тогда при попытке использовать ваши данные техподдержка отклонит запрос. Если же утечка имела место, нужно сообщить в полицию, это поможет защититься, если, например, банки начнут выдвигать требования об оплате кредита. Утечки персональных данных опасны тем, что для обычного пользователя остаются незаметными, а компании далеко не всегда информируют своих клиентов о таких событиях, чтобы не подрывать репутацию. Так что лучшая защита – это минимум информации, которую предоставляете на других сайтах и сервисах. Если есть возможность, стоит обратиться к опытным айтишникам, чтобы они установили на компьютер или ноутбук программы, надежно защищающие от взлома.

Что говорит закон?

Реформу законодательства о защите персональных данных Украина начала в 2019 году, поправки к закону вступили в действие в марте 2021-го. За нарушение закона о защите персональной информации – распространение личных данных без согласия владельца в сети интернет или в реальности – статьей Уголовного кодекса Украины предусмотрено наказание. Нарушителю грозит штраф до пятидесяти не облагаемых налогом минимумов доходов либо исправительных работ, статья также предполагает арест до полугода или ограничение свободы до 3 лет. Мера наказания зависит от тяжести нарушения и характера последствий.

Для сравнения: законодательство, по которому живет Европа, требует при нарушении закона о защите персональных данных (незаконная обработка, в том числе) взыскать максимальный размер штрафа 20 миллионов евро или 4% от оборота компании, такой подход заставляет руководителей уделять огромное внимание мерам информационной безопасности.

Как обеспечивается информационная безопасность?

С одной стороны, требования к обработке персональных данных установлены законом, с другой – противоречий в судебной практике сегодня хватает, поэтому избежать нарушений в этой сфере компаниям бывает достаточно сложно. Чтобы провести эту обработку грамотно, выгоднее и проще прибегнуть к помощи опытных юристов, которые знают новые правила, условия и регламент.

Список услуг включает:

  • разработку документов, которые должна иметь организация, с учетом особенностей бизнеса;
  • помощь в подготовке внутренней документации, создании системы защиты персональных данных;
  • проведение аудита в IT;
  • подготовку дополнений к договорам для согласования условий обработки персональных данных с клиентами.

Стоимость услуг зависит от объема и сложности задачи, поэтому вопросы оплаты решаются в процессе обсуждения проблемы перед тем, как подписать договор. Некоторые предприниматели не торопятся обращаться за помощью к специалистам, считая, что достаточно защищены от взломщиков, но такая беспечность может дорого обойтись. Лучше потратиться на услуги опытного юриста, который поможет выстроить надежную защиту и обезопасить на случай утечки информации, чем потом заплатить гораздо больше за услуги адвоката.

Спрос и предложение

Юрист по защите персональных данных должен не только досконально знать законы – услуга требует понимания тонкостей GDPR-комплаенс (общий регламент по защите данных). Чтобы потом не понадобился адвокат, лучше позаботиться о нужном документе заранее, равно как и об IT безопасности, но важно учитывать, что GDPR compliance не может быть вечным. Практика GDPR показывает, что изначальный план внедрения еще может сохранять статический характер, но бизнес-процессы не стоят на месте, заключаются новые договоры, меняются карты и условия, предоставляются согласия, и чтобы не нарушать законодательство Украины, план необходимо периодически обновлять. При наличии крепкой и надежной базы может понадобиться только юридическая консультация.

Приходится также учитывать и закон о cookies (куки – фрагменты файлов со служебной информацией от сайтов, которые посещали потребители), в документах может содержаться и личные сведения, и тогда любой гражданин может подать иск о защите своих прав. Поэтому юристы берут на себя еще и разработку политики и уведомления о конфиденциальности для сайта компании с учетом требований законодательства. Новые поправки к закону прояснили общие правила по использованию таких файлов, которые могут собираться только с полученного заранее согласия физического лица.

Как правильно оформить согласие?

Этот аспект тоже еще не всем известен, но изучать его необходимо, он касается журналистов и блогеров, распространителей товаров в соцсетях. Для начала стоит вспомнить, что персональные данные разделяют на общие, где прописывают личную информацию, специальные, в которых отмечают расовую и национальную принадлежность, политические, религиозные взгляды, и биометрические, куда относят отпечатки пальцев, фотографии, ДНК.

Предоставляя Согласие, отмечают:

  • данные субъекта и контакты;
  • информацию об операторе;
  • цель обработки и категории личных данных.

Можно отметить также срок, в течение которого будет действовать согласие, желательно прописать данные о ресурсах, где информация будет опубликована. Блогерам и владельцам онлайн-изданий желательно предварительно проконсультироваться у юриста, чтобы грамотно выстроить свои отношения в правовом поле и формировать материалы с учетом требований законодательства.

Преимущества компании «Бачинский и партнеры»

У нас широкая специализация, мы предоставляем комплексные услуги с привлечением проверенных подрядчиков, результат работы которых гарантируем. Оказываем полную поддержку на каждом этапе, это касается всех проблем, с которыми к нам обращаются клиенты. Быстро оцениваем ситуацию, успешно находим оптимальный выход в сложных положениях, практикуем персональный подход к каждому клиенту. Цены включают все пакетные услуги и не меняются в процессе работы.

Как проверить уровень ИТ безопасности, что такое предоставление персональных данных по запросу адвоката, зачем нужен GDPR аудит, какое необходимо разрешение – ответы на эти и многие другие вопросы можно получить у наших опытных юристов, условия сотрудничества и защиты обсуждаются на предварительной юридической консультации; мы обслуживаем Киев, Львов, Волынь, Тернополь, Ивано-Франковск вместе с прилегающими к ним областями.

Ответственность за распространение персональных данных

Безусловно, каждый из нас имеет полное право на то, что информация о его личности, личной жизни, состоянии здоровья, вероисповедании и т.д. была неприкосновенной. В юридической практике часто приходится сталкиваться с ситуациями, когда та или иная информация становится объектом уголовного или административного правонарушения.

Чтобы понимать, какую черту преступать нельзя, и в каких случаях грозит ответственность, необходимо для начала понимать, что вообще представляют собой персональные данные. А для этого необходимо обратиться к двум законам “Об информации” и “О защите персональных данных”.

Итак, в общем информацией принято считать какие-либо сведения, данные, которые хранятся на электронном или материальном носителе. Соответственно под защитой на законодательном уровне понимается совокупность мероприятий, направленных на сохранность, целостность и соблюдение порядка доступа к соответствующей информации.

Отдельно выделяется понятие персональных данных. К числу таковых относятся конфиденциальные сведения о физическом лице.

Не считается правонарушением распространение персональных данных, осуществляемое исключительно по согласию субъекта таких данных.

Более детально разобраться в данном вопросе нам помог адвокат с опытом более 15 лет, Андрей Турий. К слову, Андрей является управляющим партнером компании https://turii.com.ua/ru/. Он рассказал нам, какое наказание предусмотрено за распространение персональных данных.

Административная ответственность за распространение персональных данных

Как уже было сказано, не всегда человек жаждет, чтобы информация о нем, в т.ч. и конфиденциальная, стала объектом всеобщего обозрения и обсуждения. Если это случилось без согласия субъекта — владельца таких личных (персональных) сведений, то есть все основания привлечь виновное лицо к ответственности.

Начнем с возможной административной ответственности. В каких случаях такие деяния относятся к числу административных проступков?

Статья 188 39 КУоАП закрепляет ответственность за нарушение законодательства в сфере защиты персональных данных. В диспозиции этой нормы указаны следующие правонарушения:

  • несообщение либо несвоевременное сообщение Омбудсмена об обработке персональных данных или о смене сведений, подлежащих сообщению в соответствии с законом;
  • сообщение неполных либо недостоверных сведений;
  • невыполнение предписаний (требований) Омбудсмена;
  • несоблюдение установленного законодательством порядка о защите личных данных, что повлекло за собой незаконный доступ к такой информации или нарушение законных прав и интересов субъекта — распорядителя персональных данных.

За это правонарушение виновное лицо может быть привлечено к ответственности в виде штрафа, максимальная сумма которого составляет 34 000 гривен.

Уголовная ответственность за распространение персональных данных

УК предусмотрена ответственность за нарушение неприкосновенности частной жизни. Противоправными признаются следующие незаконные деяния, объектом которых является конфиденциальная, личная (персональная) информация о лице:

  • собирание;
  • хранение;
  • применение;
  • уничтожение;
  • разглашение;
  • распространение;
  • внесение изменений заведомо ложных, неправдивых, противоправных.

За совершение такого уголовного правонарушения установлена ответственность в виде штрафа, исправительных работ, ареста или ограничения свободы. А вот если такие действия были совершены повторно и, к тому же, причинили существенный вред интересам, правам и свободам человека, то виновному лицу грозит даже лишение свободы на срок до пяти лет.

Существенным вредом необходимо считать материальные убытки, которые в сто и больше раз превышают необлагаемый налогом минимум дохода граждан.

Обязательно стоит отметить, что публичное сообщение о совершении преступления не относится к распространению конфиденциальной информации или личных данных и, соответственно, не влечет за собой ответственности.

Если не получить согласие на обработку и использование персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

ВАЖНО! С 1 сентября 2022 года действует норма, по которой продавец товара или услуги не может отказать в обслуживании клиенту, который не желает предоставлять персональные данные (ст. 16 закона от 07.02.1992 № 2300-1 в редакции, применяемой с 01.09.2022). Подробнее о новом правиле, а также об исключениях из него — здесь.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 6–10 тыс. руб. — на граждан;
  • 20–40 тыс. руб. — на должностных лиц;
  • 30–150 тыс. руб. — на юридических лиц.

Ознакомиться с актуальными штрафами за нарушения при обработке персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к документу бесплатно.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от «КонсультантПлюс». Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени), притом что соответствующий договор не должен содержать положений, ограничивающих права и свободы субъекта персональных данных, как и положения, предусматривающие в качестве условия заключения данного договора бездействие субъекта;
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Предприятие в установленном порядке уведомляет Роскомнадзор об обработке персональных данных. Узнайте больше о данной процедуре из тематической публикации.

Итоги

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

ВС РФ разъяснил правила рассмотрения споров о защите персональных данных

В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.

А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.

Кому только ни нужны в настоящее время наши персональные данные — от воров и мошенников всех мастей до коммерсантов, рассылающих рекламу своих товаров или услуг.

Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.

Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем. Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками. Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.

Но и такие суммы за последние годы не присуждали.

Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.

Сегодня в России, как подчеркивают специалисты, судебная практика по таким спорам только начинает формироваться. Подчеркнем сразу — ведущая роль в спорах о защите данных принадлежит Роскомнадзору. Именно он обладает главными полномочиями при контроле за соблюдением закона.

Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.

Роскомнадзор поступил как положено — от имени заявителя отправил иск в суд. В нем было требование защитить права гражданина как субъекта персональных данных и ограничить доступ к информации о нем.

Но Центральный районный суд Хабаровска исковое заявление не принял. По логике суда, требования заявителя — административные. А раз так, то они не должны рассматриваться в порядке гражданского судопроизводства. Отказ был обжалован, но апелляции поддержала коллег. Она заявила, что требования Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы райсуда о рассмотрении спора в административном порядке верны.

В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.

Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.

А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.

Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.

Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных. Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России. Там подготовили предложения по изменению закона «О персональных данных». АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.

Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.

В качестве примера можно вспомнить одно из таких дел, когда истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей. Но получил отказ. Тогда дело принял по заявлению гражданина районный суд. По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации — в суд по ее адресу.

При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.

Если нарушен закон о персональных данных, пострадавший человек может защищаться и с помощью Закона «О защите прав потребителей». В таком случае иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель — по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора. Это сказано в 29-й статье ГПК и в статье 17 Закона «О защите прав потребителей».

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.

В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.

Похожие публикации:
  1. Как называется один из видов деятельности в области промбезопасности подлежащие лицензированию
  2. Мрот что входит в него официальный документ
  3. Что такое полная стоимость кредита
  4. Что такое производственная необходимость по трудовому кодексу

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *