Сбор персональных данных – теперь это мрак. Коснется всех!

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных – теперь это мрак. Коснется всех!». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если их субъект:

1. Является участником договора.
2. Подвергается судебному разбирательству.
3. Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).

Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:

• сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
• фото или видео с общественных мероприятий или полученные на платной основе;
• ИНН без привязки к другой информации;
• государственные номера транспортных средств.
• данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
• информация, предназначенная для передачи только внутри компании (группы компаний)

Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

• Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
• Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

• цели обработки персональных данных;
• перечня персональных данных, на обработку которых даёт согласие их субъект;
• наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
• перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
• срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

• категории и перечень персональных данных
• категории субъектов, персональные данные которых обрабатываются;
• способы и сроки хранения персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Можно ли обрабатывать персональные данные без согласия людей?

Законодательство допускает обработку ПДн без согласия субъекта в следующих случаях:

• если лицо является участником судебного разбирательства;
• если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
• для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
• если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
• собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
• данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
• информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина.

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Персональные данные — конфиденциальная информация, которая может быть собрана работодателем с целью идентификации личности сотрудника, а также для определения уровня квалификации работника и его профессионального потенциала. Существует несколько способов хранения и обработки личной информации (она может быть зафиксирована на бумаге или электронных носителях, в зависимости от предпочтений сотрудников отдела кадров и возможностей предприятия). Защита персональных данных должна стать первоочередной задачей соответствующего отдела, так как это право сотрудника, которое гарантируется ему Конституцией Российской Федерации. Важно хорошо знать свои права, чтобы иметь возможность защитить себя в спорной ситуации.

Согласно Федеральному закону 152-ФЗ от 27 июля 2006 года «О защите персональных данных» вся информация, получаемая работодателями, учреждениями, компаниями, соцсетями, продавцами от сотрудников и клиентов подлежит тщательному хранению. За передачу ПД третьим лицам предусмотрена административная и, в редких случаях, уголовная ответственность. При этом для получения любой частной информации должен быть назначен уполномоченный человек, который будет заниматься обработкой полученных данных и обеспечит их сохранность.

Собирать персональные данные можно только с согласия от опрашиваемого человека. При этом устного разрешения зачастую будет недостаточно – лучше потратить время и подписать небольшое соглашение или предусмотреть поле с требованием поставить галочку (если это интернет-ресурс) о согласии на обработку переданных ПД, чем в дальнейшем доказывать свою правоту.

Что же касается предмета закона, то под понятием персональных данных стоит понимать информацию, которая относится к конкретному человеку и помогает определять его личность.

Что конкретно имеется в виду под персональными данными?

Российское законодательство определяет как минимум 6 основных категорий персональных данных:

1. Общие или общедоступные. Это данные, которые не относятся к конфиденциальным. Найти их можно в общедоступных базах, справочниках, адресных книгах. Чаще всего такая информация находится в свободном доступе в соцсети. К таким данным относят: ФИО, место жительства или регистрации, место работы или вид занятости, номер телефона.
2. Специальные. Это такие данные, которые чаще всего находятся в закрытом доступе, а для их обработки нужно получить личное письменное согласие субъекта. К подобному виду информации относят данные о судимости, национальной принадлежности, личной жизни, состоянии здоровья, политических взглядов, религиозных убеждений. Узнать все это можно только лично от человека, или сделать официальный запрос в уполномоченную службу. Однако если дело касается правонарушений и информация нужна для следствия, тогда запрос на получение информации передается уполномоченным лицом под его личную ответственность.
3. Биометрические. Это ряд данных, которые определяют физиологические или биологические особенности человека и применяются, чтобы установить личность. К биометрическим данным относятся:
   • фотография;
   • отпечаток пальца или сетчатка глаза;
   • зубная карта;
   • группа крови;
   • запись образца голоса;
   • другая генетическая информация.

   При этом важно помнить, вся эта информация является биометрической, если используется для идентификации личности, а не общего сбора данных о человеке.

4. Персональные данные работников. Сюда входит вся та информация, которую получает работодатель о своем сотруднике в процессе трудового взаимодействия. Эти данные защищаются дополнительно статьями ТК РФ.
5. Персональные данные в интернете. Вся дополнительная информация, получаемая собственниками электронных ресурсов при работе с сайтом: почта, IP-адрес, геолокация, информация о действиях на странице, полученные и отправленные файлы.
6. Иные или дополнительные данные. Чаще всего к этой группе относят информацию, которая имеет свойство меняться и не носит особой важности или секретности. В эту категорию можно отнести информацию о членстве в обществе или о занятии определенным видом спорта.

В первую очередь разберемся с вопросом, зачем необходима такая защита? Согласитесь, мало кому из нас было бы приятно, если бы наши данные были в открытом доступе, даже несмотря на то, что большинство из нас самостоятельно выкладывает их в социальных сетях. Но одно дело Одноклассники или Facebook — информацию, которую мы там предоставляем, невозможно проверить. Кроме того, мы имеем возможность вместо ФИО писать ники, а информацию о дате рождения, месте проживания и пр. можем просто игнорировать.

Заполняя различные анкеты в госучреждениях, торговых точках и т. д., мы указываем много личной информации, которая могла бы стать доступной, если бы не одно «но» – в таких анкетах всегда присутствует пункт о разрешении на обработку данных в определенных целях. Нецелевое использование такой информации карается законом.

Закон о защите персональных данных заботится не только о физических, но и о юридических лицах. Мало кому понравится, если информация о финансовом состоянии дел или данных сотрудников компании будет доступна каждому желающему. Это значительно бы упростило жизнь мошенникам, чего не желают ни простые граждане, ни сотрудники правоохранительных органов.

Какая информация относится к персональным данным?

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.
Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Похожие записи:

• Разглашение персональных данных
• Использование и содержание нежилого помещения в многоквартирном доме
• Размер алиментов на детей от разных браков