Ответственность за передачу персональных данных третьим лицам в 2020 году

Самое важное в статье: "Ответственность за передачу персональных данных третьим лицам в 2020 году". Актуальность информации вы всегда можете проверить, задав вопрос дежурному специалисту.

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ

Ш траф до 200 тыс. руб., либо обязательные работы на срок до 360 ч асов , либо исправительны е работы на срок до одного года, либо принудительные работы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет или без такового ) , либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет ( с лишением права занимать определенные должности на срок до трех лет )

То же деяние, совершенное с использованием служебного положения

Ш траф от 100 тыс. до 300 тыс. руб. , либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет или без такового ) , либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет ( с лишением права занимать определенные должности на срок до пяти лет )

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий

Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Ш траф до 200 тыс. руб. , либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительны е работ ы на срок до двух лет, либо лишение свободы на тот же срок

Читайте так же:  Соблюдение санитарных правил является обязательным для варианты в 2020 году

Причинение лицу убытков в результате нарушения правил обработки его персональных данных.

Под убытками при этом понимаются:

  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Иные нарушения в области персональных данных при их обработке

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Если не получить согласие на обработку и использование персональных данных

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 3–5 тыс. руб. — на граждан;
  • 10–20 тыс. руб. — на должностных лиц;
  • 15–75 тыс. руб. — на юридических лиц.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Нововведения в законодательстве о персональных данных — и как это касается бизнеса

Digital-юрист Константин Крупский объясняет ситуацию и даёт советы — как не попасть на штраф в 18 млн ₽.

В настоящее время персональные данные используются во многих сферах жизни людей и в совершенно различных целях. Начиная от информации в социальных сетях для коммуникации с друзьями, коллегами и заканчивая банковскими реквизитами при покупке товаров, будь то в интернете или в супермаркете. Согласно исследованиям, проведённым в 2019 году, в социальных сетях зарегистрировано порядка 3,48 миллиарда пользователей.

Читайте так же:  Предоставление информации управляющей компанией собственникам жилья в 2020 году

При этом обычный человек совсем не интересуется, куда попадают его данные и что с ними происходит дальше.

При покупке товаров человек просто прикладывает телефон или банковскую карту к платёжному терминалу и забирает купленные продукты, размышляя лишь о способах их потребления. Однако кое-кто об этом задумывается, поэтому был внесён законопроект с беспрецедентными для России размерами штрафов за нарушения в сфере персональных данных.

Для начала следует разобраться: а что вообще подразумевается под персональными данными

Закон нам чётко говорит, что это «любая информация, которая прямо или косвенно относится к определённому или определяемому человеку». Однако когда читаешь такое пояснение в первый раз, создаётся впечатление, что это какая угодно информация о людях, начиная с номера телефона и заканчивая цветом волос.

Пакет «MUSTHAVE-2020» для digital-агентств и веб-студий

Главный коммерческий пакет MUSTHAVE-2020 для digital-агентств и веб-студий, в который включено сразу 7 различных опций, сервисов и рекламных форматов в рейтингах Руварда на весь следующий год.

Поэтому данный вопрос порождает массу дискуссионных моментов, множественность мнений и является остро обсуждаемым уже довольно давно. При этом ни одна государственная инстанция не может предоставить исчерпывающего списка сведений о человеке, относящихся к персональным данным.

Если же обратиться к позициям судов, то в состав персональных данных можно внести несколько достаточно очевидных пунктов: ФИО человека, его паспортные данные, адрес проживания, иная информация из пенсионного дела и/ или трудового договора. При этом ИНН человека или логин на каком-нибудь сайте не являются персональными данными, ведь по этим наборам чисел и символов нельзя понять, что это за человек, какого он возраста, пола.

Однако если на аватарке человека есть его фотография или при регистрации он укажет электронную почту, в названии которой будет его ФИО, а в доменном имени — название компании, где он работает, то суммарно эта информация также будет признаваться персональными данными.

Итак, рассмотрим детально, о чём речь

В середине июня 2019 года был опубликован законопроект, который вводит новые штрафы за нарушения в сфере персональных данных, и если сейчас максимальный штраф в сети интернет достигает 75 тысяч ₽ для юридических лиц (ст. 13.11 КоАП РФ), то новый законопроект вводит максимальный штраф в той же статье закона до 18 млн ₽.

Также существенно повышается штраф и за незаконную обработку персональных данных граждан РФ. А в связи с тем, что под обработкой понимается любое действие с персональными данными, то бизнесу необходимо разрабатывать документацию, соответствующую требованиям законодательства для контроля и урегулирования вопросов использования персональных данных.

Однако большинство бизнес-проектов на свою голову относятся пренебрежительно к этому вопросу, не уделяя должного внимания правовым механизмам, регламентирующим использование личной информации, например, при обработке сведений пользователей своих сайтов.

Обсуждаемый законопроект, значительно увеличивающий штрафы, призывает компании быть внимательнее при обработке персональных данных и в обязательном порядке предусматривать ряд превентивных мер, минимизируя спектр рисков, связанных с наложением штрафов за нарушения в сфере персональных данных.

Предполагаю, что разработчики этого законопроекта руководствовались и вдохновлялись международной практикой решения тех же вопросов.

И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году

General Data Protection Regulation — это регламент защиты персональных данных граждан Европейского союза, закрепляющий положения об обработке персональных данных. Регламент вступил в силу в мае 2018 года.

Он увеличивает штрафы за нарушение правил обработки персональных данных до 20 млн € (

1,4 млрд ₽) или 4% годового дохода компании, тем самым усиливая и ужесточая ответственность за такие правонарушения.

В связи с тем, что данный документ имеет экстерриториальное действие, то он применяется ко всем компаниям, обрабатывающим персональные данные граждан Европейского союза, независимо от резидентства или местонахождения такой компании.

Но что же происходит на практике? Так в ноябре 2018 года в Германии был вынесен штраф чат-приложению для знакомств Knuddels за утечку логинов и паролей порядка 330 000 пользователей продукта. За это правовой регулятор Германии, руководствуясь именно положениями GDPR, вынес штраф в размере 20 тысяч € (

Британский правовой регулятор также не дремлет и привлёк к ответственности Equifax — кредитное бюро, являющееся одним из трёх крупнейших кредитных агентств в США наряду с Experian и TransUnion, на 550 тысяч € (

39 млн ₽) за нарушения, касающиеся персональных данных 146 миллионов клиентов компании.

В ходе расследования было установлено, что британский филиал Equifax “failed to take appropriate steps” (не предпринял надлежащих шагов) для защиты данных граждан, добавив, что многочисленные сбои в компании привели к тому, что личная информация сохранялась дольше, чем необходимо для целей её обработки, и была совершенно открыта для доступа иных лиц. Британский регулятор также отдельно подчеркнул, что меры для защиты и управления личной информацией были “inadequate and ineffective ” (неадекватными и неэффективными).

Безусловно, для российского бизнеса, а особенно для молодых бизнес-проектов прочтение фактов о штрафах таких размеров за утечку или ненадлежащую обработку персональных данных людей поражают и удивляют, однако история знает цифры совсем другого порядка, которые действительно способны впечатлить.

Так, в начале 2019 года GDPR постучал в дверь Google, а именно правовой регулятор Франции, с комментарием, что при использовании смартфонов на платформе Android цели обработки описаны “in a too generic and vague manner” (слишком обобщённо и расплывчато), как и категории данных, обрабатываемых для этих разных целей.

Видео удалено.
Видео (кликните для воспроизведения).

Аналогично передаваемая информация недостаточно ясна, чтобы пользователь мог понять, что правовой основой обработки операций для персонализации рекламы является согласие, а не законный интерес компании. В результате разбирательства Google был оштрафован на 50 млн € (

3,5 млрд ₽) за нарушение положений GDPR по мнению Национальной комиссии по делам информационных технологий и правам человека Франции.

В сентябре 2018 года социальная сеть Facebook была взломана, и злоумышленники похитили персональные данные примерно 50-ти миллионов пользователей. В результате проведения расследования европейскими правовыми регуляторами вина социальной сети была установлена, и в настоящий момент ведётся утверждение штрафа в размере 5 млрд $ (

очень много рублей).

Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран

Но есть ощущение, что, вводя этот законопроект об увеличении штрафов в сфере персональных данных до 18 млн ₽, законотворцы в России решили «сделать свой GDPR» со своими историческими максимумами по штрафам.

Россия — это страна, в которой штрафы за нарушения в сфере персональных данных всегда были достаточно низкими, ведь только в 2017 году их максимальная отметка достигла 75 тысяч ₽, ранее было ещё меньше, и это происходит на фоне штрафа Uber на 148 млн $ (

9,3 млрд ₽) в 2016 году — такой контраст действительно поражает и заставляет задуматься.

Читайте так же:  Образовательная организация или учреждение как правильно в 2020 году

Мы не можем отрицать, что сегодняшние технологии, гаджеты очень плотно вошли в мир современного человека и в зону его коммуникаций. Настолько плотно, что учёные и психологи совершенно серьёзно выделяют новый вид фобии — номофобию (страх отсутствия мобильного телефона).

А ведь взаимодействие человека с мобильным телефоном, планшетом или ноутбуком неизбежно приводит к предоставлению его персональных данных компаниям-владельцам используемых устройств, мобильных приложений, сайтов.

Бесспорно, это в значительной мере изменяет степень общественной опасности правонарушений в сфере персональных данных, и, конечно же, динамично изменяющиеся условия требуют адекватной реакции и корректировки законов в целях предупреждения противоправных действий в сфере персональных данных. Но остаётся лишь найти ответ на один вопрос — штраф в 18 миллионов — это адекватная реакция?

В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных

Закон говорит нам, что при обработке персональных данных организация обязана принимать необходимые правовые, организационные и технические меры для защиты личных сведений пользователей от незаконного или случайного доступа к ним и от иных неправомерных действий в отношении персональных данных.

В частности, под правовыми мерами подразумевается документальное оформление условий обработки персональных данных на сайте в виде пользовательского соглашения, политики обработки персональных данных и cookie policy, а за пределами онлайн-пространства — в виде локальных нормативных актов, то есть внутренней документации организации, касающейся персональных данных.

Организационные и технические меры связаны с работой сайта и с использованием средств защиты информации на нём. Речь идёт о целом постановлении Правительства РФ, которое содержит объёмный список требований к защите персональных данных при их обработке с целью обеспечения необходимого уровня безопасности личных сведений граждан РФ. Сведения каждого пользователя должны быть защищены надлежащим образом от третьих лиц, при этом важно своевременное информирование пользователя об использовании его персональных данных в тех или иных целях.

Данные блоки мер для защиты персональных данных пользователей закрепляют спектр императивных норм, обязательных для исполнения, поэтому выполнение таких требований существенно снижает вероятность назначения штрафа. В целом в положениях нет избыточности, все действия действительно важны и работают на защиту как личной информации пользователей сайта, так и интересов организации.

Согласно отчёту Роскомнадзора, в 2018 году было проведено 832 плановые проверки, при этом нарушения были выявлены в 80% случаев от общего числа проведённых проверок. Внеплановых проверок проведено всего 49, а нарушения были выявлены в 33% случаев.

Высокий процент выявления нарушений при плановых проверках говорит лишь о том, что на практике большинство организаций просто не знают, как в рамках требований законодательства управлять персональными данными, которые они обрабатывают.

За весь 2018 год органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения:

Как вы видите, превалирующее большинство протоколов об административных нарушениях были вынесены по ч. 1 ст. 13.11 КоАПа РФ, то есть, например, за обработку персональных данных без получения согласия, либо обработку, которая несовместима с целями сбора персональных данных.

И если в 2018 году эти штрафы составляли максимум 50 тысяч ₽, то обсуждаемый законопроект увеличивает их до 18 млн ₽, поэтому если вы думали о закрытии рисков, связанных с персональными данными, но откладывали решение вопроса на потом, то сейчас самое время сменить приоритеты и предпринять необходимые меры по обеспечению безопасности персональных данных.

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.
Читайте так же:  Разрешение на строительство гаража на собственном участке в 2020 году

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 1–3 тыс. руб. для граждан, 5–10 тыс. руб. для должностных лиц, 30–50 тыс. руб. для организаций

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 3–5 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 15– 70 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 700–1500 руб. для граждан, 3–6 тыс. руб. для должностных лиц, 5–10 тыс. руб. для ИП, 15–70 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 1– тыс. руб. для граждан, 4–6 тыс. руб. для должностных лиц, 10–15 тыс. руб. для ИП, 25–40 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 1–2 тыс. руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–45 тыс. руб. для организаций

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 700–2000 руб. для граждан, 4–10 тыс. руб. для должностных лиц, 10–20 тыс. руб. для ИП, 25–50 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 3–6 тыс. руб.

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

На страже безопасности, или Локализация персональных данных

Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.

Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.

Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.

Что такое база данных?

В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?

Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.

Кому необходимо выполнять требования закона?

Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.

Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.

Читайте так же:  Регистрация вводного инструктажа по охране труда проводится в 2020 году

Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:

Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).

Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.

Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.

Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?

Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.

В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.

Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?

Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:

такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);

на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.

Допустима ли трансграничная передача персональных данных?

Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).

Как определить, что персональные данные принадлежат россиянам?

Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.

Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.

На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.

Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.

Видео удалено.
Видео (кликните для воспроизведения).

Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».

Ответственность за передачу персональных данных третьим лицам в 2020 году
Оценка 5 проголосовавших: 1

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here