Кто имеет право запрашивать персональные данные гражданина без его согласия

Кто имеет право запрашивать персональные данные гражданина без его согласия

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

• например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
• через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

• Ф. И. О. субъекта персональных данных;
• контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
• наименование или Ф. И. О. и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
• условия разрешения и запрета обработки персональных данных;
• срок, в течение которого действует согласие;
• сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

• Ф. И. О.;
• контакты (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

• когда договор заключается непосредственно между банком и работником;
• когда у работодателя есть доверенность на представление интересов работника в банке;
• когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Не пропускайте последние новости — подпишитесь
на бесплатную рассылку сайта:

Изменения в законе о персональных данных

Федеральный закон № 152-ФЗ устанавливает, что нельзя собирать, обрабатывать и использовать личные данные без согласия их владельца. Цель закона – защита персональных данных (ПД). Защита ПД возлагается на операторов, которыми признаются компания, в которой есть хотя бы один сотрудник, и даже ИП, если они работают с ПД.

Защита персональных данных означает, что оператору от пользователя нужно получить согласие на сбор и обработку информации, уведомить уполномоченный орган о том, что он является оператором, а также обеспечить безопасность персональных данных.

С 2006 года закон все больше ужесточался, увеличивая требования к операторам. Если раньше компании было достаточно разместить всплывающее окно с информацией о cookies в интернете и форму согласия на сбор и обработку данных, то позднее этого уже стало недостаточно. Теперь операторы ПД должны более тщательно подходить к сбору данных. Им необходимо разработать индивидуальную политику использования, в которой отражены все возможные варианты применения личных данных пользователей, защитить сведения пользователей от кражи и взлома, хранить ПД только на российском хостинге. При этом провайдер хостинга тоже должен соблюдать 152-ФЗ.

Роскомнадзор сам или по жалобам пользователей, без участия прокуратуры, может проверять интернет-сайты, анализировать соблюдение закона и выносить решение.

Что является персональными данными?

Федеральный закон 152-ФЗ не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному частному лицу:

адрес регистрации и адрес проживания;

паспортные данные, СНИЛС, ИНН;

адрес страницы в соцсетях;

контакт в мессенджере.

По сути, к ПД относится любая информация, которая позволяет определить конкретного человека.

Обработка персональных данных в соответствии с ФЗ

Оператор, который занимается обработкой ПД, должен пользоваться услугами провайдера, который прошел все необходимые аттестации и имеет все необходимые требования безопасности. Это могут быть любые российские провайдеры, которые работают в соответствии с 152-ФЗ, зарегистрированы в РФ, состоят в реестре операторов обработки ПД и физически размещают свои серверы в ЦОД на территории России.

Закон о защите персональных данных 2022: какие изменения

Еще до начала обработки ПД оператор должен уведомить Роскомнадзор о своей деятельности, чтобы попасть в Единый реестр. При этом обработчики данных напрямую с субъектами ПД (то есть пользователями) не контактируют и несут ответственность только перед оператором.

С 1 сентября 2022 года действие закона распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина.

Только 48% интернет-магазинов предупреждают о том, что будут использовать персональные данные. 30% размещают на сайте политику конфиденциальности.

Глобальное изменение, которое вступило в силу 1 сентября 2022 года, – это сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. Таких ситуаций только три:

работа с ПД без средств автоматизации;

включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка;

обработка в соответствии с законодательством РФ о транспортной безопасности.

С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД. Работодателю тоже следует получить от сотрудника разрешение на сбор и обработку ПД.

Ранее Роскачество уже рассказывало, какие данные могут собирать мобильные приложения и почему нужно читать их политики конфиденциальности

Ответственность за нарушение закона

За невыполнение требований законодательства в области обработки ПД организации могут получить штраф (в зависимости от конкретного нарушения) от 30 тыс. до 6 млн рублей (ст. 13.11 КоАП РФ).

Кроме того, с 1 сентября 2022 года введена административная ответственность за отказ потребителю в заключении договора, если тот не предоставляет ПД. Штраф за нарушение для организаций составляет от 30 тыс. до 50 тыс. рублей.

Компания имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Отказ предоставлять адрес доставки при использовании курьера относится к таким случаям, поэтому потребителю будет отказано в получении услуги на законных основаниях.

Следите за новостями, подписывайтесь на рассылку.

При цитировании данного материала активная ссылка на источник обязательна.

Как защитить персональные данные, чем опасна утечка и что делать, если их украли

Разбираемся, зачем компании собирают согласия на обработку персональных данных, можно ли их отозвать, для чего эта информация мошенникам и как снизить риск утечки личных данных.

Что такое персональные данные

Конкретного перечня таких данных нет. В зависимости от своей деятельности разные организации собирают некоторые объемы информации о своих клиентах или работниках — данные, которые обрабатываются в компаниях, и относят к персональным. Однако федеральный закон «О персональных данных» выделяет виды данных:

• Общие. Это базовая информация о человеке: ФИО, место регистрации, информация об образовании, о месте работы, контактные данные.
• Специальные. Информация о личности: национальность, политические и религиозные убеждения, философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
• Биометрические. Физиологические или биологические особенности человека: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и так далее.
• Иные. Все остальное — например, уровень зарплаты, количество отпускных дней или членство в фитнес-клубе.

Когда человек регистрируется на онлайн-сервисах и указывает эти данные, этот шаг не делает эту информацию общедоступной. Для ее хранения и обработки сайты должны получать согласие.

Почему утечка персональных данных опасна

Информацией пользуются мошенники. С помощью скомпрометированных банковских данных они могут вывести деньги клиентов или оплачивать покупки, хотя таких возможностей становится меньше. Кроме того, мошенники могут подобрать пароль в соцсетях и выпрашивать деньги от лица жертвы.

Наконец, личные данные человека помогают мошенникам втереться в доверие с помощью социальной инженерии. Намного проще усыпить бдительность жертвы, если лжесотрудник службы безопасности банка знает фамилию и имя человека, его адрес проживания или место работы.

В интернете также продаются базы данных контактной информации. Причем если несколько лет назад это были просто номера плюс имя владельца, то теперь продается расширенная информационная база: номер телефона, место жительства, имя и так далее. Помимо мошенников такой информацией пользуются компании для рекламы своих услуг. Стоит помнить, что такие звонки незаконны, если человек не давал на них согласие.

Часто ли утекают данные из финансового сектора?

Что такое согласие на обработку персональных данных

Это добровольное решение человека передать свою личную информацию для тех целей, которые указаны в согласии. Поэтому важно читать эти документы, прежде чем их подписывать или ставить галочку в форме регистрации. Например, в согласии может быть указано, что персональные данные подписавшего могут быть переданы третьей стороне или использоваться для рекламных целей.

Существует заблуждение, что продавцы или компании могут отказать в покупке или услуге без согласия на обработку персональных данных. На самом деле это не так, и отказ клиента подписывать этот документ не может быть основанием для расторжения договора. Любая компания может использовать личную информацию человека без его согласия для того, чтобы исполнить договор. Чаще всего согласия клиентов собирают для перестраховки или разработки маркетинговых кампаний.

Государственные органы могут использовать персональные данные без согласия гражданина, но должны просить разрешения на их публикацию, если это требуется для их деятельности. По этой причине вузы собирают у абитуриентов согласие на публикацию личной информации на сайте университета — ФИО, баллы за экзамены, личные достижения и так далее.

Сколько действует согласие и можно ли его отозвать

Отозвать согласие на обработку персональных данных можно, а срок его действия зависит от конкретных условий, под которыми подписался человек. Закон никак не ограничивает срок действия документа, поэтому чаще всего в таких соглашениях указано «до дня отзыва».

Человек может отозвать согласие, обратившись в офис компании и оставив заявление лично. Также можно отправить запрос по электронной почте в виде документа, подписанного усиленной квалифицированной электронной подписью. Наименее простой, но надежный способ обращения — ценное письмо с извещением. Почтовые квитанции и извещения подтвердят факт запроса на отзыв согласия.

У компании можно потребовать как полностью блокировать персональные данные, так и уничтожить часть из них. Например, клиент магазина не против получать рекламные рассылки по электронной почте, но при оформлении бонусной карты указывал также место жительства. В этом случае можно потребовать уничтожить и больше не хранить лишь эту информацию, так как по факту магазину она не требуется для рекламы, а также никак не влияет на преференции по бонусной карте клиента.

После обращения у компании есть 30 дней, чтобы прекратить обработку персональных данных. Если запрос проигнорирован, то дальше следует жалоба в Роскомнадзор или в суд. Приоритетнее первый вариант, так как на сайтах региональных отделений ведомства достаточно лишь заполнить форму жалобы на бездействие компании. Еще через 30 дней Роскомнадзор должен ответить, что специалисты ведомства лично убедились в том, что компания перестала обрабатывать данные клиента.

Правда, уничтожить полностью персональные данные часть компаний не могут. Например, если у клиента есть действующий договор с оператором связи, то компания продолжит использовать личную информацию, чтобы оказывать свои услуги. Банки хранят персональные данные клиентов, даже если все отношения с ним были расторгнуты, так как Центральный банк рекомендует кредитным учреждениям не уничтожать информацию в течение пяти лет.

Как удалять личные данные в интернете

Если на каком-то сайте появились персональные данные без согласия человека, то следует вначале обратиться к администрации через форму обратной связи или по контактам в подвале сайта. Письмо осталось без ответа? Можно отправлять жалобу в Роскомнадзор, который вначале потребует удалить информацию, а если требование будет проигнорировано, заблокирует сайт.

Многие онлайн-сервисы подключили способы добровольного удаления личных данных. Например, после инцидента с «Яндекс.Едой», когда в интернете оказалась информация о заказах некоторых пользователей с суммами и адресами, сервис разрешил удалять данные в личном кабинете. VK принимает запросы на выгрузку архива, после чего можно лично удалить нужную информацию и медиафайлы. Соцсеть будет еще некоторое время хранить эти данные у себя, после чего удалит их с серверов.

Если у онлайн-сервиса нет таких функций, как у VK или «Яндекс.Еды», можно оставить запрос по электронной почте. У компании есть 30 дней на ответ, после чего клиент может обратиться в Роскомнадзор.

Как свести к нулю шанс утечки персональных данных

К сожалению, никак. Клиенты не могут повлиять на степень защиты информации в компаниях. Утечки чаще всего происходят из-за человеческой ошибки. Сотрудники случайно передают на фишинговых сайтах свои учетные данные мошенникам, после чего последние получают базу данных клиентов в свои руки, или сливают данные сами, желая заработать. Также мошенники сами собирают файлы с личной информацией, пользуясь тем, что пользователи в интернете по невнимательности публикуют фотографии своих документов, номера телефонов, реквизиты банковских карт.

Важно помнить о простых правилах информационной безопасности:

• Нигде не публиковать и никому не отправлять в интернете фотографии банковской карты и ее полные реквизиты. Достаточно номера карты или телефона, чтобы перевести деньги.
• Обязательно включить двухфакторную аутентификацию во всех сервисах и соцсетях. Это когда помимо ввода пароля пользователю также нужно подтвердить вход другим способом — например, ввести код, который пришел по СМС или через уведомление в приложении.
• Менять пароль хотя бы раз в год. Совсем хорошо — раз в три месяца. Причем чем сложнее пароль, тем эффективнее защита. Лучше избегать конструкций вроде 123QWE. Как и банковские данные, пароли нужно держать в секрете.
• Не хранить в соцсетях файлы с отсканированными документами. Даже если есть уверенность, что публичный доступ закрыт, личную страницу могут взломать. Лучше воспользоваться специальными приложениями, которые гарантируют защиту фотографий.
• Онлайн покупать только на тех сайтах, которые вызывают доверие. Можно ориентироваться на значок замочка в браузере — если он закрыт, значит сайт использует защищенное подключение. Перед оплатой лучше убедиться, что это не фишинговый сайт, который копирует сайты интернет-сервисов или банка.
• Не подписывать согласие на обработку персональных данных, не прочитав его.

Что делать, если персональные данные утекли в Сеть

Проверить, фигурируют ли данные в каких-то утекших базах с помощью Telegram-бота от сетевого сообщества Data1eaks. Введя номер телефона, пользователь видит, через какие сервисы утекли данные. В этом случае лучше сменить пароль и отвязать все банковские карты, если они были привязаны к аккаунту.

Банки следят за утечками банковской информации, поэтому самостоятельно перевыпускают банковские карты, но если этого не произошло, нужно заблокировать карту и выпустить новую. Также рекомендуется сменить пароли для входа в приложения банков, соцсети и почтовые сервисы.

В остальном остается только смириться с фактом утечки. В интернете можно встретить объявления, в которых якобы за деньги удалят любую информацию, но нет гарантий, что такой исполнитель просто не заблокирует клиента после того, как получит аванс.

Стоит ли подавать в суд на компанию? Это возможно, но очень трудозатратно и без юриста почти невозможно. Сложно доказать, что владелец персональных данных понес убытки из-за утечки информации, а уж тем более, что ему был причинен моральный вред. Как минимум можно рассчитывать на штраф для компании, а как максимум — еще и на компенсацию. Суммы небольшие: до 1 млн рублей — штраф, порядка 10 000–150 000 рублей — компенсация.

Если же в интернете оказались фотографии или видео, публикации которых хотелось бы избежать, то следует обратиться в полицию. В этом случае речь идет уже не о нарушениях в области обработки персональных данных, а о нарушениях неприкосновенности личной жизни (ст. 137 УК РФ) и тайны переписки (ст. 138 УК РФ).

Имеет ли право прокуратура запрашивать персональные данные?

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности.

Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина.

Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности.

Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика.

В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно.

Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и Иск в суд будут дополнять друг друга.

Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле.

Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности.

При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

Вид полученной переписки между гражданами не имеет значения.

При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

• В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
• В Центральный банк Российской Федерации
• От П.
• Жалоба на использование персональных данных

2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей.

1. В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
2. В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
3. Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
4. Звонки поступают со следующих номеров телефонов: …
5. Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Автор статьи:

© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

Прокурорская проверка. Часть III — Предоставление документов по требованию (запросу) прокурора

22 Закона о прокуратуре), которые предоставляются ему бесплатно (п. 2 ст. 6 Закона о прокуратуре).

Если документы для изучения запрашиваются в преддверии выездной проверки, то прокурорам запрещено истребование излишних материалов, документов и сведений, которые могут быть получены прокурорами непосредственно в ходе проверки с выходом на место (п. 15 Приказа N 195).

В любом случае прокурору запрещено требовать предоставления документов (их копий), материалов и сведений:

— которые официально опубликованы в СМИ или размещены на официальном сайте органа или организации, если создание такого сайта предусмотрено ее учредительными документами (абз. 3 п. 2.3 ст. 6 Закона о прокуратуре).

Если прокурор запросил именно такие документы, то в ответе на запрос следует указать, в каком СМИ или на какой веб-странице опубликованы документы, и актуальны ли они на момент запроса (п. 2.4 ст.

6 Закона о прокуратуре);

— которые могут быть получены у других госорганов или из открытых источников (абз. 3 п. 2 резолютивной части Постановления N 2-П);

— которые уже передавались в прокуратуру в связи с ранее проводимой проверкой (абз. 3 п. 2.3 ст. 6 Закона о прокуратуре, абз. 3 п. 2 резолютивной части Постановления N 2-П). Если прокурор запросил именно такие документы, то в ответе на запрос следует указать сведения о проверке, в рамках которой передавалась запрошенная информация, и ее актуальность (п. 2.4 ст. 6 Закона о прокуратуре);

— которые проверяемое лицо не обязано иметь в соответствии с законодательством (абз. 3 п. 2 резолютивной части Постановления N 2-П;

— которые выходят за пределы конкретной проверки (абз. 2 п. 2.3 ст. 6 Закона о прокуратуре, абз. 3 п. 2 резолютивной части Постановления N 2-П, абз. 2 п. 15 Приказа N 195).

При этом, согласно закону, некоторые из документов, которые прокурор не может запрашивать (из «прошлой» проверки и официально опубликованные), проверяющие лица все же обязаны ему предоставить, если требования прокурора обусловлены необходимостью проведения исследований для получения дополнительной информации, которая может повлиять на выводы проводимой проверки, либо наличием ЧС или угрозы причинения вреда жизни или здоровью, имуществу, окружающей среде, безопасности государства (п. 2.5 ст. 6 Закона о прокуратуре). Отметим, однако, что сформулированный в Постановлении N 2-П запрет на требование документов и информации не предполагает подобных изъятий.

Прокуратуре также запрещено требовать от проверяемого лица формировать те документы, которые не имелись на момент предъявления требования (абз. 3 п. 2 резолютивной части Постановления N 2-П).

Срок предоставления истребуемых документов будет указан в требовании (запросе).

Если же нет, то документы нужно предоставить прокурору в течение двух рабочих дней с момента поступления требования, если проводится проверка в рамках надзора за исполнением законов, и пяти рабочих дней — если это проверка в рамках надзора за соблюдением прав и свобод человека и гражданина (п. 2 ст. 6 Закона о прокуратуре).

Если проверка приостановлена, то те документы и материалы, которые были изъяты непосредственно у проверяемого лица (а не запрошены у третьих лиц), возвращаются проверяемому лицу .

исключения составляют случаи, когда изъятые материалы используются для решения вопроса об уголовном преследовании или для проведения исследований, результаты которых могут повлиять на выводы проводимой проверки (п.

10 ст. 21 Закона о прокуратуре).

Адрес электронной почты для переписки: dnvolga@bk.ru

Персональные данные сотрудников: определение, правила работы | Ответственность за нарушение закона о персональных данных

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать Моральный вред .

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

• Основная информация о персональных данных:
• Глава 14 Трудового кодекса РФ
• Закон № 152-ФЗ О персональных данных
• Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

1. Вот список для ориентира:
2. Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.
3. Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ . Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

. Персональные данные работника обрабатывают только с его письменного согласия.

. Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

. Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ .

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

. Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

. Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

. Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

. Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

. В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Оцените все возможности онлайн-бухгалтерии бесплатно

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

Пример положения о защите персональных данных работников

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

• ИП и организации с одним учредителем ответственным назначают себя.
• Пример приказа о назначении ответственного за работу с персональными данными
• Пример обязательства о неразглашении

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

1. Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.
2. Пример согласия на обработку персональных данных
3. Пример согласия на получение персональных данных у третьих лиц
4. Типовая форма трудового договора для микропредприятия

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

• Электронное уведомление Роскомнадзору
• Образцы бумажных уведомлений
• А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 27.01.2022

Судебная практика по спорам о защите персональных данных

Конституционный Суд РФ решил, что норма Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ, поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

За нарушение требований статьи 4 Закона РФ от 27 декабря 1991 года N 2124-1 «О средствах массовой информации» и опубликование редакцией газеты «Лабинские вести» материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты «Лабинские вести». Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты «Лабинские вести».

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию.

Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства.

Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ. Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине «Покупочка». При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона «О персональных данных» истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной. Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Однако, по нормам Закона РФ от 7 февраля 1992 г. N 2300-1 «О защите прав потребителей» покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г. N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом, Продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У). В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

Чем грозит разглашение информации о работнике

Каждый работодатель сталкивается с получением, обработкой, хранением, использованием и передачей персональных данных сотрудников. В компаниях разрабатываются локальные акты, с которыми обязательно знакомят всех работников под подпись, назначаются ответственные лица.

Но что делать, если произошла утечка информации, содержащейся, например, в заявлении сотрудника? В статье рассмотрим порядок действий организации в случае разглашения каких-либо сведений о работнике, которые были адресованы только руководителю или иному уполномоченному лицу, а не всему коллективу.

Ответим на вопрос, является ли информация из объяснительной записки сотрудника его персональными данными.

Поводом для написания статьи стал вопрос от читателя, написавшего в редакцию.

Написал генеральному директору объяснительную записку. На следующий день все в офисе знали и обсуждали ее подробности. Разве такого рода записки не являются конфиденциальной информацией?

Представим, что сотрудник опоздал на работу. После появления на рабочем месте он написал и передал своему руководителю (генеральному директору) объяснительную записку, в которой изложил причины отсутствия.

На следующий день все коллеги были в курсе личных проблем сотрудника. При этом сам работник никого не посвящал в подробности. Стало понятно, что начальник рассказал всему отделу о содержании объяснительной.

Возможны и иные схожие ситуации, например: кадровик ознакомился с трудовой книжкой сотрудника и рассказал по секрету парочке коллег из других подразделений о предыдущих местах работы и причинах увольнения с них.

Давайте разберемся, можно ли привлечь к какой-либо ответственности руководителя / сотрудника отдела кадров за разглашение личной информации работника. Выясним, все ли кадровые документы содержат персональные данные. Проведем анализ: кто и в каком размере может понести наказание за утечку информации о зарплате сотрудников. В статье рассмотрим нестандартные ситуации, возникающие на практике.

Персональные данные или нет?

Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:

• фамилия, имя, отчество;
• пол;
• возраст;
• место жительства;
• изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
• образование, квалификация, профессиональная подготовка;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
• деловые и иные личные качества;
• медицинские сведения;
• номер телефона;
• прочие сведения, которые могут идентифицировать работника.

Сведения о заработной плате сотрудника также являются информацией, содержащей его персональные данные (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681 «О передаче работодателем третьим лицам сведений о заработной плате работников»).

Таким образом, любой документ, в котором содержится какая-либо информация о конкретном работнике, будет являться носителем его персональных данных. Ведь в заявлении о переводе сотрудник может указать сведения о своем заболевании. Или в объяснительной записке работник сошлется на расторжение брака. Не каждый захочет, чтобы личная жизнь стала достоянием общественности.

Работодатель не вправе сообщать персональные данные сотрудника третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами (абз. 2 ст. 88 ТК РФ).

Кого можно привлечь к ответственности

• Чтобы привлечь к ответственности сотрудника за разглашение чужих персональных данных, нужно доказать следующее:
• 1) разглашенные сведения относятся к персональным данным другого работника;
• 2) эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей;

3) сотрудник обязывался не разглашать такую информацию (п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации»).

Таким образом, привлечь к ответственности за разглашение персональных данных можно далеко не каждого.

ТК РФ позволяет работодателю уволить подчиненного, если он допустит утечку персональных данных своих коллег (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Приведем несколько примеров из судебной практики и проанализируем, какие обстоятельства влияли на разрешение конкретных дел.

Он также обязался не разглашать информацию, составляющую коммерческую тайну (секрет производства), служебную информацию работодателя и принял на себя обязательство о неразглашении персональных данных.

В ходе рассмотрения дела выяснилось, что истец со своей рабочей электронной почты направил на внешний электронный адрес третьего лица некоторые документы. Например, заключение о выплате премии, положение о премировании, о выплате премии работнику после его увольнения, положение о социальном обеспечении работников.

Таким образом, установлено и подтверждено документами, что истец с рабочего стационарного компьютера, принадлежащего ответчику, посредством корпоративной почты систематически направлял на внешний электронный адрес служебные документы, локальные нормативные документы, относящиеся к категории «служебная (конфиденциальная) информация», и персональные данные сотрудников. Суд оставил в силе приказ об увольнении (апелляционное определение Московского городского суда от 16.06.2016 по делу № 33-23105/2016).