Перед кем оператор персональных данных несет ответственность

Важная информация на тему: "Перед кем оператор персональных данных несет ответственность" понятным для непрофессионалов языком. Если нужно уточнить нюансы, то вы всегда можете обратиться к дежурному юристу.

Персональные данные: обязанности и ответственность оператора

С 01.07.2017 вступают в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных. Кроме того, существенно вырастают размеры штрафов. Если предусмотренный до настоящего времени штраф для юридических лиц не мог превышать 10 тыс. руб., то сейчас максимальный размер штрафа для них варьируется от 30 тыс. до 75 тыс. руб.

Законодательные изменения

Относительно недавно в данной сфере появилось еще одно важное нововведение – Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» обязанности оператора персональных данных были дополнены требованиями к их «локализации», то есть обязанностью оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием по общему правилу баз данных, находящихся на территории России (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Одновременно тем же Законом № 242-ФЗ в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» была введена ст. 15.5, устанавливающая возможность на основании судебного акта ограничить доступ к информации в сети Интернет, обрабатываемой с нарушением законодательства РФ в области персональных данных. Тем самым нарушение законодательства в области персональных данных пополнило перечень оснований для блокировки сайтов, организуемой Роскомнадзором и приводимой в жизнь операторами связи.

[3]

Эти законодательные изменения являются явными сигналами к тому, что государство в последнее время достаточно внимательно относится к выполнению требований по защите персональных данных.

Учитывая возрастающие риски ответственности за нарушение законодательства о персональных данных и достаточно широкую сферу применения Закона № 152-ФЗ, всем, кто собирает или обрабатывает информацию о гражданах, следует еще раз обратить внимание на ключевые положения законодательства в этой сфере.

Лица, которые обрабатывают персональные данные (при этом обработкой считаются любые действия с персональными данными), определяют цели и порядок их обработки, признаются операторами персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ), деятельность которых по общему правилу должна соответствовать Закону № 152-ФЗ. Исключениями являются, например, случаи обработки персональных данных для личных и семейных нужд, если не нарушаются права субъектов персональных данных, а также случаи обработки сведений, составляющих государственную тайну (п. 2 ст. 1 Закона № 152-ФЗ).

Таким образом, практически любой хозяйствующий субъект так или иначе сталкивается с персональными данными.

Условия и принципы

Вопросы обработки персональных данных особенно актуальны в свете растущего числа персональных данных, которые собираются через сеть Интернет. Это связано в том числе с ростом рынка электронной коммерции, а также со стремлением большинства компаний обеспечить присутствие в сети Интернет. Использование Интернета для коммуникации с потребителями, как правило, подразумевает получение их персональных данных для целей организации доставки товаров или оказания услуг, распространения таргетированной рекламы (то есть сообщений, демонстрируемых строго определенной выборке пользователей), публикации отзывов и так далее. Очевидно, что такие санкции за нарушение законодательства, как блокировки интернет-сайтов, создают серьезные риски для организации, активно использующей Интернет в повседневной хозяйственной деятельности.

В первую очередь, следует помнить, что обработка персональных данных допускается при наличии хотя бы одного из условий, предусмотренных в ч. 1 ст. 6 Закона № 152-ФЗ. Наиболее типичными условиями являются: наличие согласия субъекта персональных данных на их обработку (п. 1); обработка необходима для исполнения договора, стороной/выгодоприобретателем в котором является субъект персональных данных (п. 5); а также обработка персональных данных, сделанных общедоступными их субъектом (п. 10).

При этом операторам важно учитывать содержащиеся в ст. 5 Закона № 152-ФЗ принципы обработки, среди которых надо отдельно выделить следующие:

–соответствие обрабатываемых персональных данных, их содержания и объема целям обработки (ч. 4, 5 ст. 5);

[2]

– хранение персональных данных не дольше срока, отвечающего целям обработки персональных данных (ч. 7 ст. 5).

Следует обратить внимание, что такие принципы не являются исключительно декларативными. Их нарушение само по себе будет основанием для привлечения к ответственности. Более того, в новой редакции ст. 13.11 КоАП РФ (вступает в силу с 01.07.2017) ч. 1 посвящена случаям нарушений, когда имеет место обработка персональных данных без согласия субъекта или обработка не в соответствии с заявленными целями сбора персональных данных. Для юридических лиц предусмотрен штраф до 50 тыс. руб.

В этом смысле показательным является дело № А53-13327/2013, в рамках рассмотрения которого ФАС СКО в Постановлении от 21.04.2014 пришел к выводу, что «для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения». В то же время суд счел, что хранение на рабочем месте копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребенка превышает объем обрабатываемых персональных данных работника, является обработкой избыточных персональных данных, по сравнению с теми, которые определены к заявленным целям их обработки, что является нарушением ч. 5 ст. 5 Закона № 152-ФЗ.

Вышеуказанные принципы могут также приниматься во внимание и в потребительских спорах. Так, в Постановлении Тринадцатого арбитражного апелляционного суда от 03.06.2014 по делу № А56-56137/2013 суд пришел к выводу, что бланк согласия, предложенный потребителю, содержит избыточные персональные данные (такие, как семейное и имущественное положение и т. д.), и признал правомерным привлечение медицинской организации к ответственности по ч. 1 ст. 14.4 КоАП РФ за отказ в предоставлении услуг в нарушение лицензионных требований.

Обязанности оператора

Одной из ключевых обязанностей оператора, которой посвящена отдельная ст. 7 Закона № 152-ФЗ, является обязанность обеспечить конфиденциальность персональных данных – запрет раскрывать персональные данные третьим лицам без согласия субъекта. Однако в целом обязанности оператора можно условно разделить на юридические (то есть выражающиеся в совершении юридически значимых действий, принятии документов и т. д.) и на организационно-технические меры, которые имеют своей целью защиту персональных данных гражданина от разглашения.

Читайте так же:  Что надо проверить при покупке квартиры

К юридическим мерам относятся:

1. Получение согласия субъекта персональных данных (когда иные условия их обработки отсутствуют) в форме, обеспечивающей возможность доказать факт получения согласия (п. 1 ст. 9 Закона № 152-ФЗ), либо в определенных законом случаях в письменной форме. Когда речь идет о передаче данных в страну, не обеспечивающую адекватной защиты персональных данных (подп. 1 п. 4 ст. 12 Закона № 152-ФЗ), когда обрабатываются биометрические данные для целей установления личности (п. 1 ст. 11 Закона № 152-ФЗ) или когда имеет место обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ). Согласно вступающей в силу с 01.07.2017 ч. 2 ст. 13.11 КоАП РФ неполучение письменного согласия является самостоятельным составом правонарушения, за которое предусмотрен штраф до 75 тыс. руб. для юридических лиц.

2. Опубликование политики конфиденциальности или иного документа, определяющего его политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, а также обеспечивание возможности доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (п. 2 ст. 18.1 Закона № 152-ФЗ). С 01.07.2017 нарушение такой обязанности повлечет штраф в размере 30 тыс. руб. (ч. 3 ст. 13.11 КоАП РФ).

3. Издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений (подп. 2 п. 1 ст. 18.1 Закона № 152-ФЗ).

4. Уведомление Роскомнадзора до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Такое уведомление не требуется в определенных случаях, предусмотренных ч. 2 ст. 22, к числу одних из самых распространенных среди которых относятся: обработка в соответствии с трудовым законодательством; обработка в связи с исполнением договора; обработка общедоступных персональных данных или персональных данных; а также обработка только Ф. И. О. субъектов; обработка для целей однократного пропуска субъекта на охраняемую территорию.

Неисполнение обязанности по уведомлению Роскомнадзора образует административное правонарушение, предусмотренное ст. 19.7 КоАП РФ (непредставление сведений в государственный орган). К ответственности по данной статье привлекаются, в частности, интернет-магазины с функцией регистрации личного кабинета покупателя (Постановление Нижегородского областного суда от 25.07.2014 по делу № 7п-371/2014).

К организационно-техническим мерам относятся:

1. Обеспечение безопасности информационных систем и необходимого уровня защищенности персональных данных (ст. 19 Закона № 152-ФЗ; Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также принятые в соответствии с ним приказы ФСБ России от 10.07.2014 № 378, ФСТЭК России от 18.02.2013 № 21).

2. Назначение лица, ответственного за обработку персональных данных (для операторов, являющихся юридическими лицами) (ст. 22.1 Закона № 152-ФЗ).

3. Обеспечение невозможности несанкционированного доступа к материальному носителю (кроме бумажных носителей и носителей внутри информационной системы оператора) биометрических персональных данных, а также иных требований, установленных Постановлением Правительства РФ от 06.07.2008 № 512. С 01.07.2017 нарушение такой обязанности будет признаваться самостоятельным нарушением, за которое предусмотрен штраф в размере до 50 тыс. руб. (ч. 6 ст. 13.11 КоАП РФ).

4. Обеспечение сохранения персональных данных граждан РФ на территории России (ч. 5 ст. 18 Закона № 152-ФЗ). Согласно разъяснениям Минкомсвязи России у оператора нет необходимости удалять аналогичные данные из зарубежных баз, содержащих данные россиян.

Рассматривая ответственность за нарушение законодательства в области персональных данных, надо, помимо административной, помнить и про иные виды ответственности.

Так, субъект персональных данных, права которого нарушены, вправе претендовать в суде на возмещение убытков и (или) компенсацию морального вреда. Иными словами, оператор находится под риском гражданско-правовой ответственности, которая может повлечь определенные денежные потери, связанные с нарушением.

Не следует забывать и о том, что нарушение норм Закона № 152-ФЗ может в определенных случаях быть признано составом преступления: нарушением неприкосновенности частной жизни (ст. 137 УК РФ) и / или неправомерным доступом к компьютерной информации (ст. 272 УК РФ).

Статья 6. Условия обработки персональных данных

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 6 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 6. Условия обработки персональных данных

См. комментарии к статье 6 настоящего Федерального закона

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Информация об изменениях:

Пункт 3 изменен с 10 августа 2017 г. — Федеральный закон от 29 июля 2017 г. N 223-ФЗ

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

Информация об изменениях:

Часть 1 дополнена пунктом 3.1 с 10 августа 2017 г. — Федеральный закон от 29 июля 2017 г. N 223-ФЗ

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);

Информация об изменениях:

Федеральным законом от 5 апреля 2013 г. N 43-ФЗ в пункт 4 части 1 статьи 6 настоящего Федерального закона внесены изменения

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

Информация об изменениях:

Федеральным законом от 3 июля 2016 г. N 231-ФЗ в пункт 5 части 1 статьи 6 настоящего Федерального закона внесены изменения, вступающие в силу с 1 января 2017 г.

Читайте так же:  Заявление о прекращении права собственности на недвижимость

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Информация об изменениях:

Федеральным законом от 3 июля 2016 г. N 231-ФЗ в пункт 7 части 1 статьи 6 настоящего Федерального закона внесены изменения, вступающие в силу с 1 января 2017 г.

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Информация об изменениях:

Федеральным законом от 1 июля 2017 г. N 148-ФЗ статья 6 настоящего Федерального закона дополнена частью 1.1

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ «О государственной охране».

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Меры, принимаемые оператором персональных данных

Меры, принимаемые оператором для защиты своих прав и интересов при поручении обработки персональных данных субъектов на основании договора

Видео (кликните для воспроизведения).

На сегодняшний день один из самых проблематичных и актуальных вопросов в работе многих учреждений и организаций – обеспечение надлежащей защиты персональных данных субъектов во исполнение требований Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее по тексту – Закон). Защите персональных данных субъектов, обрабатываемых операторами, посвящено множество статей.

Закон достаточно подробно касается вопросов обработки самим оператором полученных персональных данных субъектов в силу различных оснований. Однако, все чаще операторы поручают обработку персональных данных субъектов другим лицам, что составляет так называемое «поручение оператора» (ч.3 ст. 6 Закона). Назовем такое лицо «субоператор». Это может быть, например, поручение туроператора турагентству привлекать и заключать от его имени договоры на продажу туристского продукта.

В настоящей статье мы решили затронуть наиболее важные вопросы, возникающие при поручении обработки персональных данных субоператору при заключении договора.

Как обеспечить надлежащую защиту персональных данных субъектов в данном случае? Как реально оператору обезопасить себя, предотвратить риск наступления неблагоприятных последствий при перепоручении определенных действий с персональными данными, ведь передавая сведения по договору субоператору, оператор не может фактически контролировать их соблюдение?

В силу ч. 5 ст. 6 Закона ответственность перед субъектом персональных данных за действия субоператора несет оператор. В свою очередь, субоператор несет ответственность перед оператором.
Исходя из возможностей, предоставленных действующим законодательством, предполагается, что оператору в данном случае необходимо предпринять ряд мер, направленных на защиту своих интересов. Остановимся на них поподробнее.

Закон касается данного вопроса в ст. 6 ч. 3, путем установления требований о наличии в поручении оператора в соответствии с которым передаются персональные данные субъектов, условия об обязанности обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке, перечня действий (операций) с передаваемыми персональными данными, которые будут совершаться субоператором, целей обработки, а также требований к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона.

Закон не устанавливает требования к форме такого поручения, поэтому данные требования считаем возможным изложить как в поручении оператора в виде отдельного документа, так и зафиксировать в договоре.

Первая задача, которую нужно решить оператору при заключении договора на основании которого будет производиться обработка персональных данных, это определить предмет данного договора, т. е. цель его заключения, на основании которой уже будут сформированы цели обработки предоставляемых персональных данных. При этом необходимо учитывать принципы обработки персональных данных, установленные в ч. 1, 2 ст. 5 Закона, которые гласят, что обработка персональных данных должна осуществляться на законной и справедливой основе, также должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Читайте так же:  Сколько стоит содержание ооо в год

Далее, исходя из заданных целей, необходимо определиться с перечнем допустимых действий (операций), которые будут совершаться с персональными данными субоператором. К таковым можно отнести: хранение, использование, передача, предоставление, накопление, уточнение и т.п. В случае выхода за рамки предоставленных действий оператору будет проще отследить какое из них не было предусмотрено договором.

Изначально, чтобы правомерно поручить обработку персональных данных субъекта субоператору, необходимо получить согласие субъекта на данное действие. Эта обязанность прямо установлена в п. 1 ч. 1, ч. 3 ст. 6 Закона. Такого согласия не потребуется в случаях, установленных пп. 2-11 ч.1 ст. 6 Закона. Данное согласие можно включить в текст договора или получить в виде отдельного документа. Первый вариант представляется наиболее оптимальным для тех, кто желает избежать излишнего документооборота. При разработке согласия необходимо помнить о том, что согласно ч.1 ст. 9 Закона, оно должно быть конкретным, информированным, сознательным и может быть выражено в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

[1]

Здесь важно не забыть, что в силу п. 3 ст. 9 Закона бремя доказывания наличия согласия субъекта персональных данных на обработку лежит на операторе.
Вторым шагом при передаче персональных данных по договору необходимо определить содержание и объем передаваемых персональных данных, которые можно зафиксировать в договоре и подтвердить факт их приема- передачи путем составления соответствующего Акта. Содержание и объем сведений определяются исходя из конкретных целей такого поручения. Здесь важно соблюсти ряд принципов, провозглашенных Законом. Речь идет о следующих принципах:

  • соответствия содержания и объема обрабатываемых персональных данных целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки (ч. 5 ст. 5 Закона),
  • точности, достаточности, в необходимых случаях актуальности персональных данных по отношению к целям обработки (ч.6 ст. 5 Закона);
  • обработки только тех персональных данных, которые отвечают целям их обработки (ч.4 ст. 5 Закона).

Поэтому, при выборе контрагента не помешает лишний раз убедиться в его правоспособности, наличии необходимых лицензий и т.д.

Следующим обязательным условием в договоре по которому поручается обработка персональных данных субъекта является обязанность соблюдения субоператором конфиденциальности и безопасности персональных данных субъектов при их обработке. Кроме того, в нем должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 18, 19 Закона. Понятие конфиденциальности раскрывается в ст. 7 Закона. Изначально, необходимо ознакомиться с локальными актами, принятыми в организации и регламентирующими данные вопросы и процессы. Таковыми могут быть Положение о порядке обработки персональных данных, Перечень лиц, имеющих допуск к персональным данным, приказ о назначении ответственных за обеспечение безопасности персональных данных, документы, содержащие данные о технических средствах защиты информации и т.д. Главная цель – убедиться, что у субоператора установлены права, полномочия, обязанности сотрудников, имеющих доступ к персональным данным, и они ознакомлены под роспись с данными документами. Чтобы реально контролировать соблюдение установленных правил и условий в договоре можно установить обязанность субоператора предоставлять оператору ежемесячно отчет о состоянии системы защиты персональных данных, фактах, имеющих значение.

Следовательно, лучше всего определить условия, методы, режим, средства охраны конфиденциальности и безопасности контрагентом переданных ему персональных данных. Такая детальная проработка условий не кажется излишней, т.к. позволит четко регламентировать процесс обработки персональных данных и своевременно выявить его нарушения.

Исходя из принципов обработки персональных данных субъектов, установленных Законом (ч. 7 ст. 5 Закона), персональные данные субъекта подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Причем в ч. 4 ст. 21 Закона установлен конкретный срок в течение которого оператор обязан обеспечить прекращение обработки персональных данных субоператором и их уничтожение. Он не должен превышать 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено в договоре, ином соглашении между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять такую обработку без согласия субъекта на основаниях, предусмотренных федеральными законами. Чтобы обеспечить выполнение данной нормы Закона можно включить в договор положение об обязанности вторичного оператора прекратить обработку и уничтожить определенным порядком персональные данные субъекта в течение установленного срока, либо совершить иное действие и предоставить доказательства такого уничтожения (иного оговоренного действия), напр. Акт, справку и т.п.

Следующий вопрос, который вытекает из смысла гражданского законодательства, как возместить ущерб, причиненный субоператором, при нарушении условий договора. Считаем, необходимым прописать в договоре ответственность субоператора за нарушение взятых на себя по договору обязательств, а также обязанность контрагента возмещения убытков, понесенных оператором, вследствие данного нарушения (ст. 15 ГК РФ, ч. 5 ст.6 Закона). Убытки оператору будут возмещаться в регрессном порядке (ст. 1081 ГК РФ). Это означает, что оператор после удовлетворения требований субъекта персональных данных взыщет понесенные убытки с субоператора.

Но, как известно, лучше принять предупредительные меры, нежели при их отсутствии претерпеть серьезные последствия их игнорирования. Поэтому, другая не мало важная задача — минимизация размера возможных убытков. В данных целях можно предусмотреть в договоре положение о том, что субоператор обязуется в случае установления факта разглашения, угрозы разглашения, нарушения условий о конфиденциальности и безопасности персональных данных, незаконном получении (в т.ч. попытках), использовании, немедленно уведомить об этом оператора и всех известных обстоятельствах. Это поможет своевременно предпринять необходимые меры для предотвращения либо устранения последствий нарушения.

Итак, мы рассмотрели наиболее важные аспекты отношений, возникающих при поручении обработки персональных данных субъекта по договору третьему лицу. Как видим данные отношения регулировать очень непросто. Поэтому, в заключении можно сделать вывод о том, что необходимо серьезно и качественно подойти к разработке условий договора при поручении обработки персональных данных по договору третьему лицу. Только проработав все нюансы, обозначив наиболее важные моменты в договоре, учитывая специфику деятельности контрагента, можно предупредить риск наступления неблагоприятных последствий, а также максимально защитить свои права.

Автор: Каплина А.В.,
юрисконсульт юридического отдела
ООО «РЭАЦ «Эксперт»

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Читайте так же:  Наследники без завещания очередность

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Читайте так же:  Является ли газопровод недвижимым имуществом

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Если не получить согласие на обработку и использование персональных данных

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 3–5 тыс. руб. — на граждан;
  • 10–20 тыс. руб. — на должностных лиц;
  • 15–75 тыс. руб. — на юридических лиц.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.
Видео (кликните для воспроизведения).

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Источники


  1. Репин, В.С. Настольная книга нотариуса (теория и практика); М.: Юрилическая литература, 2013. — 288 c.

  2. Перевалов, В. Д. Теория государства и права / В.Д. Перевалов. — М.: Юрайт, Юрайт, 2010. — 384 c.

  3. Практика адвокатской деятельности / Под редакцией Л.И. Трунова. — М.: Юрайт, 2016. — 748 c.
  4. CD-ROM. Лекции для студентов. Юридические науки. Диск 1. — Москва: Высшая школа, 2016. — 251 c.
  5. Сборник постановлений пленума верховного суда СССР. (1924-1977 гг.) (комплект из 2 книг). — М.: Известия Советов народных депутатов СССР, 2016. — 822 c.
Перед кем оператор персональных данных несет ответственность
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here