Новые правила распространения персональных данных — Аналитика — Егоров, Пугинский, Афанасьев и партнеры

Бесплатная консультация юриста по телефону: 8 (804) 333-01-43

Федеральный Закон 152 «О персональных данных» регулирует всю деятельность, связанную с обработкой персональных данных. Он призван защищать права и свободу любого гражданина Российской Федерации, защитить семейные тайны, личную и частную жизнь каждого человека.

Общие положения

Закон о персональных данных 152 регулирует все правоотношения и условия обработки личной информации любым органом, физическим или юридическим лицом. Краткое содержание закона в том, что любые органы или лица могут автоматизировать сбор и обработку персональных данных, вносить их в материальные носители или картотеки и имеют право на доступ к ним.

Использовать этот закон можно не только внутри правовых органов, но и в информационно-телекоммуникационных сетях и организациях. Принят он был 8 июля 2006 года Государственной Думой и 14 июля того же года одобрен Советом Федераций. Состоит из шести глав и 25 статей. Последние изменения в него были внесены первого июля 2017 года.

Структура закона:

  • В первой главе объясняется суть закона, его цель, основные термины и понятия, на какую сферу влияет и распространяется;
  • Во второй главе объясняется принцип работы с персональными данными в соответствии с законом. Какие условия должны соблюдаться, конфиденциальность данных пользователей, их согласие на обработку данных, специальные категории и т. д.;
  • В третьей главе описываются права, которыми обладают субъекты, чьи данные собираются и используются;
  • В четвертой главе описываются обязанности лиц, занимающихся сбором, анализом, использованием данных. Такие лица называются операторами;
  • В пятой главе говорится об ответственности операторов и каким образом государство контролирует выполнение обязательств и служение закону;
  • В шестой главе оформлены все дополнительные и заключительные положения.

С каждым изменением в законе растут требования по отношению к организациям, собирающим личную информацию граждан и к операторам.

Особенности использования персональных данных по ФЗ 152

Главное условие использования персональных данных по ФЗ 152 — сбор, обработка и использование должны быть на законных и справедливых основаниях.

Органы, которые могут использовать 152 федеральный закон:

  • Федеральный орган государственной власти;
  • Муниципальные органы;
  • Органы государственной власти субъектов Российской Федерации;
  • Органы местного самоуправления;
  • Иные государственные органы.

Использование данных лицами разрешено в случаях:

  • Предварительно определены законные и действительные цели для использования;
  • Личная информация актуальна, полна и ее достаточно для выполнения поставленной цели. При недостаточном количестве информации для выполнения задач оператор дополняет их, при избыточном количестве информации, оператор ее удаляет;
  • Если информация обрабатывается и используется в поставленные для этого сроки. Храниться данные должны в форме, позволяющей в любой момент определить субъекта. По достижению цели оператор обезличивает данные или удаляет всю информацию.

Описываемый закон принят Государственной Думой и использование личной информации для органов, организаций и определенных физических лиц разрешено Правительством Российской Федерации.

Какие были внесены поправки?

Начиная с 2009 года было внесено множество поправок в закон о персональных данных.

В статье номер 3 по последней поправке перечислены термины и определения этих терминов, статья называется «Основные понятия, используемые в настоящем Федеральном законе». В тексте объясняется что такое персональные данные, трансграничная передача персональных данных, кто такой оператор, что такое информационная система персональных данных, как происходит обработка и что это, обезличивание, автоматизация, распространение, уничтожение, предоставление и блокирование персональных данных.

В статье номер 5 последние поправки были произведены 25 июля 2011 года при помощи закона 261 ФЗ Согласно новой редакции 5 статьи, использование и обработка личной информации справедлива и законна. Все цели и задачи, по которым происходит сбор и обработка информации, законны и определены предварительно. В последней редакции 5 статьи определены условия хранения такого вида информации и способы обновления и удаления ее оператором.

В статье номер 7 по последним поправкам определена суть конфиденциальности персональных данных. Оператор не имеет права распространять ее третьим лицам без согласия на то субъекта.

Поправки произошли и в статье номер 9. Новая редакция этой статьи определяет согласие субъекта на распространение и обработку персональных данных. Дееспособный субъект может согласиться на условия оператора в любой доступной ему форме, в собственных интересах и по свободной воле. Субъект имеет право отозвать согласие.

Письменное согласие субъекта на предоставление персональных данных выглядит следующим образом:

  • ФИО, адрес, идентификационный номер паспорта, информация о документе (дата и место) и т. д.;
  • Информация из доверенности при наличии представителя субъекта;
  • ФИО, адрес и должность оператора, получающего документ;
  • Цель, для чего нужны данные субъекта;
  • Перечень персональной информации субъекта, которая будет использована оператором;
  • Список действий оператора, которые он произведет по согласию субъекта;
  • Срок использования и способы отзыва документа;
  • Подпись субъекта и оператора с расшифровками.

Поправки были внесены и в статью номер 19. В тексте этой редакции говорится о мерах безопасности, которые используются для защиты прав и свободы субъектов. Оператор обязан использовать все имеющиеся меры по безопасности и защите персональных данных от неправомерного или случайного доступа к ним третьих лиц. Происходит применение технических мер, контроль, установление порядка, установление правил, учет, восстановление и обнаружение фактов взлома и т. д. Требования к защите устанавливаются Правительством Российской Федерации. Каждая организация или орган принимают определенный устав или правовые нормы, положения которых обязуют сотрудников принимать определенные меры для безопасности личной информации субъектов и конфиденциальности.

Скачать последнюю редакцию ФЗ 152

Последняя редакция Федерального Закона номер 152 «О персональных данных» была произведена 29 июля 2017 года. Закон 152 ФЗ о защите персональных данных в последней редакции потерпел изменения в статьях 1, 2, 3 и 6.

Чтобы защититься от проникновения в личное пространство, защитить собственную свободу и права, субъект, чья личная информация используется, может изучить 152 Федеральный Закон.

Поправки и редакции Федерального Закона номер 152 «О персональных данных» можно скачать по ссылке.

Комментарии к ФЗ о защите персональных данных

Комментарии к закону 152 ФЗ о персональных данных предоставлены Атамановым Г. А. Комментарии постатейные, анализируется каждый пункт статей закона. В рамках комментариев, автор предлагает к вниманию советы, законы и статьи других стран и организаций.

В комментарии к 5 статье 2 главы автор анализирует принципы справедливости использования личной информации гражданина РФ. Он говорит об обобщенности фраз закона, дает советы по использованию.

Скачать комментарии можно по ссылке.

Бесплатная консультация юриста по телефону: 8 (804) 333-01-43

25 декабря 2020

23 декабря 2020 года Госдума приняла законопроект о внесении изменений в Закон «О персональных данных».

image

Хохолков Михаил ВладимировичВедущий юрист

Изменения в Закон «О персональных данных» вступят в силу в два этапа: основная часть с 1 марта 2021 года, вторая часть с 1 июля 2021 года.

Что нового в Законе «О персональных данных»

Изменения сводятся к одному важному моменту: понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.

Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);

Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте. :)

Персональные данные, разрешенные для распространения, — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах «О команде», «Наши сотрудники» и аналогичным.

Требования к содержанию для специального согласия на обработку персональных данных будет определять Роскомнадзор. Пока их нет, конечно же. Ждем весны.

Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.

Как распространять персональные данные в 2021 году

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

1. Возможность выбора

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

2. Последовательные доказательства

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес к персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

3. Случайно все произошло

В случае если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит, он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

4. Четкость формулировок

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных. Такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

5. Если не следует, то не следует

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

6. Как вручить согласие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока непонятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — непонятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп? )

7. Как будет работать ИС Роскомнадзора

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

8. Молчание не является согласием

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает «нет».

9. Отказать запрещать нельзя

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

10. Отсроченный пункт

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Этот пункт вступит в силу с 1 июля 2021 года, если ничего не изменится. Пока я не понял, где оператор должен что-то публиковать, зачем это вообще нужно. «Посмотрим, что скажет Роскомнадзор» (цы).

11. Общественный или публичный интерес

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.

12. Запретить можно в любой момент

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.

13. Запрет с момента получения требования

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного выше, в пункте 12.

Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.

14. Требование нужно выполнить быстро

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Помните пример про три сайта и чиновника? Так вот, чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.

15. … но не всем

Требования статьи 10.1 не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Кратко — им можно. Точка.

Выводы

Важно! Статья 15.5 Закона «Об информации…» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона «О персональных данных» позволяет оспаривать отказ в удалении персональных данных в суде.

Что делать со старыми согласиями, полученными до 1 марта 2021 года? Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.

Когда получать новое согласие? Не раньше, чем Роскомнадзор утвердит его форму. Не позже, чем 28 февраля 2021 года.

Предупреждение: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом!

Ну, и ждем разъяснений Роскомнадзора.

Источник: Mediapravo.com, блог Михаила Хохолкова, INTELLECT

Статьи экспертов юридической фирмы INTELLECT >>

Похожие материалы

Новости

image 17 марта 2021

INTELLECT в рейтинге ИД «КоммерсантЪ»

В год своего 21-летия INTELLECT 21 раз отмечен в рейтинге

07 декабря 2020

«Право.ru-300»: INTELLECT выбивает страйк

11 из 11-ти: составители «Право.ru-300» отметили INTELLECT во

Статьи

12 мая 2021

Следствие правовой безграмотности

Многие врачи считают, что не могут реализовать свои права. В

26 марта 2021

Обработка персональных данных из резюме

Для обработки персональных данных, указанных соискателем в

Комментарии

21 июня 2021

Земфира подала в суд на Гришковца

Певица направила в суд иск о защите чести и достоинства после

16 июня 2021

Власти хотят ужесточить доступ к порнографии

Роскомнадзор планирует допускать граждан до просмотра

Мероприятия

19 мая 2021

Алехинские чтения – 2021

Михаил Хохолков выступает на Первом международном

12 марта 2021

Блогосфера: защита авторских прав и репутации

Михаил Хохолков, INTELLECT, выступает на круглом столе в

Другие похожие Другие похожие Другие похожие Другие похожие

Медиатека Награждение лидеров рейтинга «Право.ru-300». «Тиктолог» подал в суд на блогера и проиграл. 2021-й: новые налоги, штрафы и обязательства. Авторские права на фотографии в Интернете.

22.07.2020, Выпуск #044

Закон «О защите персональных данных» действует в России уже 14 лет. Он был нужен – ситуация складывается так, что все чаще конфиденциальная информация становится общедоступной. А в последние годы это стало еще актуальнее – регулярно происходят серьезные утечки с крупных ресурсов: фото, пароли, адреса. Так как злоумышленники только и ждут удобного случая нажиться на чужой беде, разберемся, как защитить себя и наказать виновных в утечке информации.

О чем говорит закон

Согласно Федеральному закону 152-ФЗ от 27 июля 2006 года «О защите персональных данных» вся информация, получаемая работодателями, учреждениями, компаниями, соцсетями, продавцами от сотрудников и клиентов подлежит тщательному хранению. За передачу ПД третьим лицам предусмотрена административная и, в редких случаях, уголовная ответственность. При этом для получения любой частной информации должен быть назначен уполномоченный человек, который будет заниматься обработкой полученных данных и обеспечит их сохранность.

Собирать персональные данные можно только с согласия от опрашиваемого человека. При этом устного разрешения зачастую будет недостаточно – лучше потратить время и подписать небольшое соглашение или предусмотреть поле с требованием поставить галочку (если это интернет-ресурс) о согласии на обработку переданных ПД, чем в дальнейшем доказывать свою правоту.

Что же касается предмета закона, то под понятием персональных данных стоит понимать информацию, которая относится к конкретному человеку и помогает определять его личность.

Последние серьезные изменения были приняты в июле 2017, по которым усилились требования к хранению персональных данных и ужесточилась ответственность за несоблюдение установленных правил.

Кому пригодится этот закон?

Закон важен для каждого. Все мы, так или иначе, передаем информацию о себе разным учреждениям и организациям, а потом надеемся, что ее не передадут посторонним. Например, банки запрашивают наши паспортные данные и сведения о доходах, продавцы в интернет-магазинах получают номера телефонов, электронную почту и личные данные с днем и местом рождения. А в соцсетях вообще выставляется вся своя жизнь.

Поэтому самая главная цель закона – обеспечение защиты интересов и прав обычных людей.

В свою очередь, нормы закона должны знать и четко исполнять все владельцы сайтов, которые имеют на своей странице:

  • возможность зарегистрировать и использовать личный кабинет;
  • анкеты с личными данными;
  • форма для оформления рассылки, заказа или обратной связи;
  • сбор личной информации или биометрических данных.

В этих случаях ресурс оперирует персональными данными – а потому должен обеспечивать их сохранность.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

  1. Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
  2. Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
  3. Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
    • фотография;
    • отпечаток пальца или сетчатка глаза;
    • зубная карта;
    • группа крови;
    • запись образца голоса;
    • другая генетическая информация.

    При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

  4. Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
  5. Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
  6. Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

Кто отвечает за защиту персональных данных?

Ответственность за защиту данных несет оператор персональных данных. Это может быть любая компания, которая занимается сбором, хранением или обработкой информации. Компания назначает ответственное лицо – ему передаются полномочия по работе с ПД конкретной категории (клиенты, сотрудники, партнеры и др.). В случае утечки информации в первую очередь виновным будет тот, кто отвечал за данные по конкретной категории.

Если это электронный ресурс, тогда вся ответственность возлагается на собственника сайта – вне зависимости от того, зарегистрирован ли он как оператор ПД. Если сайт собирает какую-либо информацию, значит по факту собственник уже является оператором.

Если же на сайте нет информации о собственнике ресурса, вся ответственность за распространение информации ложится на администратора домена этого сайта.

Как наказывают виновных в утечке конфиденциальной информации?

Способов множество, но важно, какой именно объем информации распространялся без ведома субъекта и какой ущерб это ему причинило. Максимальная известная компенсация за утерю персональных данных – 14 миллионов рублей, это было в 2018 году. Для обеспечения максимальной безопасности все российские компании обязаны хранить информацию на российских серверах. А за неправильное использование данных будут штрафовать:

  1. У компании нет четко разработанной политики работы с персональными данными – штраф от 3 до 6 тыс. для сотрудников, и от 15 до 30 тыс. для компаний.
  2. Информация раскрылась из-за халатности работника – штраф от 4 до 10 тыс. и от 25 до 50 тыс. соответственно.
  3. От 5 до 10 тыс. для сотрудников и от 30 до 50 тыс. для организации – если ведется неправильный или излишний сбор информации без последующей чистки ненужного.
  4. Отказ от удаления данных по требованию субъекта – от 4 до 10 тыс. и от 25 до 45 тыс. соответственно.
  5. При разглашении ПД путем передачи информации о размере зарплаты, передача данных о клиенте в другую фирму: от 10 до 20 тыс. и от 15 до 75 тыс. соответственно.

Помимо штрафов, сотрудника компании могут уволить. А в некоторых особо критичных ситуациях могут быть применены меры уголовного наказания: условные сроки и даже реальное заключение.

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет. Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности.

Существует ли точный список информации, являющейся персональными данными?

Да, есть строго установленные категории с точным списком данных, которые относят к персональным. Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных.

Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Как обезопасить себя операторам персональных данных?

Самые простые правила для операторов ПД состоят в том, чтобы четко следовать должностным инструкциям, а именно:

  • оповещать, что ведется сбор информации;
  • получать информацию только по согласию другой стороны;
  • собирать только действительно нужные данные;
  • своевременно удалять устаревшую информацию;
  • применять полученную информацию только в заранее оговоренных целях;
  • держать в открытом доступе информацию о системе обработки персональных данных вашим ресурсом и ее надежности;
  • честно рассказывать о том, как будет применяться информация;
  • соблюдать все нормы и правила сохранности и достоверности полученной информации;
  • при первом требовании удалять ранее полученную информацию;
  • использовать современные системы безопасности для предупреждения утечки.

Если компания нашла в общем доступе мобильный номер, ее можно наказать за навязывание услуг?

Конечно! Именно это и является главным нарушением при использовании чужих персональных данных. Если организация нашла в свободном доступе номер (на столбе, в рекламе, в личной переписке, со слов другого клиента) это еще не дает ей право свободно им распоряжаться. Если номер был указан в объявлении, то использовать его могут только лица, звонящие по конкретному объявлению в личных целях.

Если же страховая компания предлагает оформить страховой полис, получив номер из объявления, то эти действия незаконны. Человек не давал компании права на обработку его личных данных, а тем более права предлагать ему свои услуги без получения на это соответствующего согласия.

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

  1. Не раздавать свою конфиденциальную информацию посторонним.
  2. При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
  3. Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  4. Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  5. Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  6. Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Какие сведения относятся к персональным?

14 944просмотров

Персональные данные (ПД или ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПД). К ней относятся:

  • серия и номер паспорта;
  • дата и место рождения;
  • адрес постоянной регистрации и проживания субъекта;
  • другие идентификаторы, позволяющие определить лицо.

Главной целью закона 152-ФЗ “О персональных данных” является гарантирование защиты прав и свобод человека и гражданина при использовании его персональных данных, обязательно на неприкосновенность частной жизни, личную и семейную тайну.

Характеристика закона “О персональных данных”

Защита персональных данных в 2020 году​

Основным направлением действия 152-ФЗ является активная защита личной информации субъекта от неразрешенного доступа к ней и предотвращение незаконного хранения и последующей обработки. Реализация закона пытается решить главную проблему современности — это использование личных данных человека незаконным путем.

Персональные сведения, которые мы указали выше, относятся к индивидуальной информации. Частично ответственность за их распространение можно возложить и на самого владельца таковых, поскольку нередко человек дает согласие на обработку непроверенным операторам либо не обращает внимание, на что дает согласие или подписывает неизученный документ. Однако даже на первый взгляд внушающие доверие организации и их сотрудники допускают промахи.

Для того чтобы сохранить эту информацию персональной (ПЕРСОНА́ЛЬНЫЙ — касающийся только данного или одного лица), органы власти принимают различные меры, в рамках которых операторы по обработке ПДн, получившие данные от физического лица, должны нести ответственность за их полную сохранность. Другими словами, 152-ФЗ был принят с целью недопущения распространения персональных данных граждан без их согласия на это. Именно поэтому главным его правилом остаётся понятие о том, что оператор — это то лицо, которое отвечает за всю конфиденциальность полученной информации.

Что изменилось в 152-ФЗ в 2019 году? (актуально на 2020)

В январе 2019 года вступили в силу поправки к закону «О персональных данных» от 27.07.2006 N 152-ФЗ, о чем команда “ПД-Мастер” говорила в прошлом году. Последняя редакция содержит список нарушений, за которые оператор по обработке персональных данных привлекается Роскомнадзором к ответственности. Выглядит он следующим образом:

  • обработка данных физического лица осуществляется не в соответствии с главными целями;
  • при обработке личных данных отсутствует согласие на ее проведение;
  • ненадлежащее информирование человека о полной политике получения и обработки личной информации или полное отсутствие информирования;
  • персональные данные субъекта были получены оператором по обработке ПДн незаконным путем;
  • личные данные удаляются или уничтожаются;
  • обезличивание персональных данных осуществляется ненадлежащим образом.

Согласно ст. 137 УК РФ, при допущении хотя бы одного из перечисленных нарушений организация, являющаяся оператором по обработке ПД, подлежит административному или уголовному наказанию. Проверка в отношении организации осуществляется представителями Роскомнадзора по инициативе гражданина, который обнаружил нарушения со стороны такой организации в части обработки его ПДн и оформил жалобу в соответствующем порядке.

В июле 2019 года генетический материал человека был приравнен к персональным данным. Это расширило понятие “персональные данные” и снизило шансы злоумышленников на незаконное использование неучтенных личных сведений о человеке.

2020 год и изменения, которые он привнес в ФЗ-152

2 декабря 2019 года был подписан 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Некоторые из озвученных изменений касаются и ФЗ-152.

Конечно же, основные корректировки связаны с ответственностью. В случае, если оператор ПДн не выполняет при сборе информации, в том числе через сеть «Интернет», обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных сведений граждан нашей страны с использованием баз данных на территории РФ, ему грозят следующие административные штрафы:

  • гражданину — от 30 до 50 тыс рублей;
  • должностному лицу — от 100 до 200 тыс рублей;
  • юридическому лицу — от 1 до 6 млн рублей.

За повторное нарушение следует их очевидное повышение:

  • гражданин заплатит от 50 000 ₽ до 100 000 ₽;
  • должностному лицу грозит 500 000 ₽ — 800 000 ₽;
  • юридическое лицо в качестве штрафа может заплатить от 6 000 000 ₽ до 18 000 000 ₽.
В 2020 году увеличены штрафы за некорректную обработку персональных данных​

Еще одно введенное изменение стоит знать индивидуальным предпринимателям. С даты вступления в силу 405-ФЗ лица, осуществляющие предпринимательскую деятельность, приравниваются к юридическим. Соответственно, будут нести ответственность как более крупные организации.

В пояснительной записке к закону говорится, что введение изменений направлено на повышение ответственности к процессу сбора, хранения и обработки персональных данных в организации своих сотрудников, клиентов, контрагентов и прочих участников ее деятельности. Также корректировки направлены на стимулирование поддержания организационно-распорядительной документации и прочих документов по персональным данным в актуальном состоянии.

Внесение поправок в действующих закон еще раз напоминает о необходимости локализации хранилищ ПДн граждан РФ на ее территории. Шокирующие размеры штрафов заставят задуматься о правильности работы процесса сбора, хранения и обработки ПД в организации, говорят разработчики. Опыт некоторых стран — Турции и Германии — подтверждает эффективность введения подобных жестких мер в отношении бизнеса в России. С другой стороны, что с ним будет, если нормы закона соблюсти не получится, а многомиллионные штрафы лишат его “право на жизнь”.

На сегодняшний день правоприменительной практики пока нет. Лишь время покажет, насколько адекватными и рабочими окажутся внесенные поправки. Вместе с этим, не стоит забывать, что проверка может нагрянуть и в Вашу организацию. Чтобы быть к ней готовым, Вы можете узнать о предстоящей встречи с Роскомнадзором, заполнив форму на нашем сайте: https://pdmaster.ru/services/audit-personalnyh-dannyh-2/

Понравилась статья? Поделиться с друзьями: