Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.
Персональные данные (далее - ПДн) - это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).
Правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. "О персональных данных").
В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.
Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:
- своевременного обнаружения несанкционированного доступа к ПДн;
- недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
- возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
- постоянного контроля за уровнем защищенности персональных данных.
Категории персональных данных
В российском законодательстве определены различные категории персональных данных, в число которых входят:
1. Общедоступные ПДн - данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.
2. Специальные категории ПДн - данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта ( не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ
4. Биометрические персональные данные - информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.
Персональные данные работника
В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и , защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:
- Гарантии - совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
- Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
- Обеспечение субъективного права работника на защиту личных персональных данных.
Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).
В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:
- свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
- определение личного представителя для защиты своих персональных данных;
- получение полной информации о ПДн и их обработке;
- выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
- обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.
Состав персональных данных работника
На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:
- Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
- Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.
Защита персональных данных, ответственность за нарушение законодательства
Также, как и , персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.
Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.
В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.
Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.
В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.
На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.
Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.
Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей - для физических лиц; от 5000 до 10000 рублей - должностных лиц, от 20 тысяч до 50 тысяч рублей - для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей - для физических лиц, от 4 до 5 тысяч рублей - для должностных лиц (ст. 13.14 КоАП РФ).
Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:
- штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
- исполнительных работ на срок до 12 месяцев;
- ареста на срок до 4-х месяцев.
Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:
- штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
- лишения права занимать определенные должности на срок от 2 до 5 лет;
- ареста на срок от 4 до 6 месяцев.
Антон
Здравствуйте! Нам необходимо обмениваться персональными данными по открытым каналам связи, а точнее говоря просто по электронной почте, если персональные данные будут в запаролированном архиве, это не будет нарушать закон по защите персональных данных? Или нужно искать другие способы передачи персональных данных? Если да, то какие?
Сергей (старший юрист)
Здравствуйте, Антон! Если адресаты сообщений электронной почты в соответствии с законодательством или договором имеют право на получение сведений, составляющих персональные данные, то никакого нарушения при таком способе обмена информацией нет.
Александр ашенбреннер
Знакомый (вместе работали)взял кредит в банке и не спросив меня дал мой номер банку как близкого человека. Затем через время перестал платить по кредиту. Банк теперь мне постоянно названивает. С этим человеком я не общаюсь, он уже уволился. Что мне делать. Как отвязаться от этих звонков.
Сергей (старший юрист)
Здравствуйте, Александр! Попробуйте написать в банк заявление о прекращении обработки Ваших персональных данных. В случае отказа - подавайте жалобу в прокуратуру для привлечения банка к административной ответственности.
Александр
Здравствуйте! Посмотрел свою кредитную историю, которая собирается на данных бюро кредитных историй. Вижу, что по мне делали запросы в БКИ без моего согласия два банка. У одного из них и моих персональных данных быть не должно. Законны ли запросы в БКИ этих двух банков? Что делать?
Сергей (старший юрист)
Здравствуйте, Александр! В соответствии с законом о кредитных историях банки могут делать запросы о кредитных историях граждан только при условии наличия на это их согласия. Это прямо прописано в ст. 6 указанного закона. Поэтому без получения Вашего согласия такие запросы являются незаконными.
Дмитрий
Здравствуйте. некое ООО "благоустройство" рассылает платежки с указанием моих ФИО адрес,кол-во прописанных и зарегистрированных людей при этом ни договора на обслуживание ни договора на обработку персональных данных я не подписывал. не нарушают ли они закон
Сергей (старший юрист)
Здравствуйте, Дмитрий! Распространение персональных данных людей таким образом, чтобы они стали доступными для неограниченного числа лиц является нарушением законодательства. В зависимости от обстоятельств дела это может быть квалифицировано как административное правонарушение или уголовное преступление.
Анна
Добрый день! Подскажите пожалуйста, представитель управляющей компании создал общую группу в вацапе, куда были добавлены все жители нашего дома. Соответственно данная группа содержит информацию по номерам телефонам всех жильцов. Имеет ли право управляющая компания создавать такие группы и открывать данные по номерам телефонов жителей, а также их ФИО без их согласия? По договору с управляющей компании, она имеет право передавать информацию по персональным данным третьим лицам только в целях выполнения своих обязанностей по договору
Сергей (старший юрист)
Здравствуйте, Анна! Право на создание групп в социальных сетях и мессенджерах имеют все граждане в соответствии с условиями пользования таких мессенджеров и социальных сетей. Скорее всего, в данную группу были приглашены жильцы дома, которые могут всегда отказаться от участия в такой группе. Кроме того, не доказано, что создание группы не направлено на достижение целей по выполнению обязательств управляющей компании перед жильцами. Поэтому в данной ситуации очень спорно наличие нарушения законодательства о персональных данных.
Дмитрий
Здравствуйте, ранее привлекался к уголовной ответственности, может ли работодатель запросить данные из полиции?
Сергей (старший юрист)
Здравствуйте, Дмитрий! Запросить, конечно, может, но ему могут ответить отказом, так как у него нет права на получение данной конфиденциальной информации. Но у работодателя всегда есть возможность получить информацию о Вас через неофициальные каналы. Поэтому при желании он всегда сможет получить нужную информацию о кандидате на работу.
Евгений
Здравствуйте, работаю водителем общественного транспорта, руководство обязывает по громкой связи в салон при входе пассажиров объявлять свою Ф.И.О, является ли это нарушением закона о защите персональных данных? Могу ли я отказаться делать это?
Сергей (старший юрист)
Здравствуйте, Евгений! Если Вы согласитесь это делать, то никакого нарушения не будет, так как соответствующую информацию Вы сообщили добровольно. Но Вы можете отказаться от этого, если в трудовом договоре или других обязательных для Вас документах (например, должностная инструкция) нет такой обязанности. Насколько нам известно, на федеральном уровне такой обязанности у водителей нет.
Игорь
Добрый день, у нас в WhatsApp есть закрытая группа людей связанных определённой профессией. Для идентификации и понимания с кем мы общаемся мы попросили всех участников написать имена и фамилии, а также предоставить свою фотографию. Является ли это правомерным? Пояснение Группа создана для общения и помощи друг другу в работе. Так же в группе есть определённые правила, например о том что запрещено передавать переписку и данные пользователей третьим лицам.
Сергей (старший юрист)
Здравствуйте, Игорь! Если граждане самостоятельно будут выкладывать свои данные (которые могут быть и недостоверными), то никакого нарушения персональных данных тут не будет.
Алексей
Здравствуйте! Недавно в приложении тинькофф-банк на айфоне нашёл возможность пригласить друзей оформить карту. Функционал приложения предполагал просто нажатие кнопки "пригласить" напротив контактов телефонной книги, после чего номера телефонов, как я понимаю, отправлялись в банк и операторы банка звонили по этом номерам и предлагали оформить карты. Перед отправкой приглашений мне нигде не предлагалось ставить никаких галочек о передаче моих перс. данных, однако операторы банка обзваниваемым людям говорили не только что их телефон банку дал Алексей, но и называли мою фамилию. Сразу хочу оговорить, что моя фамилия очень редкая, в моём регионе (нижегородской области) я единственный носитель этой фамилии, да и в России тоже мало у кого такая фамилия. На следующий день я начал получать претензии от своих знакомых что Я (разумеется, они поняли, что это я) дал их номера банку. Я обратился в банк с претензией о нарушении закона 152-фз, однако юристы банка мне сказали, что фамилия не является персональными данными, позволяющими идентифицировать человека как физ.лицо, что они (банк) ничего не нарушают, а мои знакомые после общения с операторами банка определили меня лишь на основании "личных предположений" - вот их цитата: "Это личные предположения Ваших знакомых, как они поняли, что это именно Вы предоставили номер, неизвестно.", вот ещё их первый ответ: "Согласно ФЗ №152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Фамилии и имени недостаточно, чтобы отнести данные к конкретному лицу. Таким образом, нарушения законодательства нет, как Вам ранее сообщали сотрудники." Скажите, пожалуйста, есть ли в данном случае нарушение закона 152-фз и есть ли смысл мне идти в суд и привлекать людей, которые после общения с операторами банка определили мою личность, как свидетелей по данному делу.
Сергей (старший юрист)
Здравствуйте, Алексей! Возможно, что Вы уже дали согласие на обработку своих персональных данных, установив приложение Тинькофф-банка. Посмотрите внимательно условия лицензионного соглашения к данному приложению. Думаю, Вы будете неприятно удивлены. Поэтому с большой долей вероятности можно утверждать, что формального нарушения закона о персональных данных в Вашей ситуации нет.
Александр
Мне позвонил некий сотрудник консалтинговой фирмы, представился и сказал, что когда-то он работал в некотором банке и при моем обращении на горячую линию этого банка помогал мне в некоторых операциях. На тот момент он являлся сотрудником банка и, соответственно, имел доступ к моим персональным данным. Скажите, его звонок как представителя фирмы, где мои данные (ФИО, телефон) появились незаконно, не подтверждает факт несанкционированной передачи моих персональных данных, т.е. нарушение Закона о персональных данных.
Сергей (старший юрист)
Здравствуйте, Александр! В данном случае, скорее, речь идет о неправомерном действии конкретного сотрудника, который мог воспользоваться имеющимся у него доступом к базе персональных данных клиента банка. В любом случае он не имел права копировать базу данных клиентов банка и использовать ее для работы в коммерческой организации.
Анна
Здравствуйте. Скажите пожалуйста, согласие на обработку ПД подписывается один раз при получении какой-либо услуги в больнице, или при каждом обращении?
Сергей (старший юрист)
Здравствуйте, Анна! Для точного соблюдения закона требуется, чтобы при каждом предоставлении персональных данных пациент давал согласие на их обработку. Но в то же время закон о персональных данных позволяет сделать вывод о том, что если человек уже неоднократно обращался к определенному оператору обработки персональных данных и уже предоставлял соответствующие персональные данные, то при отсутствии новых персональных данных получать согласие не требуется. Но для перестраховки больницы могут каждый раз требовать подписывать согласие на обработку персональных данных.
михаил
Высылаю алименты почтойимеется исполнительный лист, не указывая свое место работы,ежемесячноимеется задолженность, без просрочек, есть ли основание для вскрытия моей личной базы данных, бывшей женой, если я не являюсь злостным не плательщиком?
Сергей (старший юрист)
Здравствуйте, Михаил! Сторона исполнительного производства вправе знакомиться с материалами такого производства, в том числе содержащимися там персональными данными должника. Но при этом взыскатель по исполнительному производству не вправе разглашать такую информацию третьим лицам.
Елена
Здравствуйте! В сети в интернет в различных группах в открытом доступе гражданин,с которым у меня судебные разбирательства, выкладывает фотоматериалы из дела, в том числе с моими персональными данными ФИО, адрес, год рождения. Можно ли данного гражданина как-то привлечь к ответственности например за разглашение моих персональных данных? Спасибо
Сергей (старший юрист)
Здравствуйте, Елена! В действиях гражданина имеется факт нарушения Ваших персональных данных. Вы можете обратиться в прокуратуру или полицию для решения вопроса о возбуждении уголовного дела или привлечения гражданина к административной ответственности.
Иван Иванович
Является ли передача данных с видеокамер, администрацией рынка частному лицу, нарушением закона о персональных данных относительно меня.
Сергей (старший юрист)
Здравствуйте, Иван Иванович! Смотря для каких целей была передана запись. Если для раскрытия правонарушения или преступления, то такие действия не являются противоправными. Кроме того, само по себе видеоизображение территории, на которой находятся определенные лица, не содержит в себе никаких персональных данных и не позволяет идентифицировать человека по его фамилии, имени, адресу и т.д.
Александр
Здравствуйте! Некая организация, считающая, что я должен ей денег, хотя никаких договоров мы не заключали, прислало мне претензию открытым письмом, на листе бумаги, который попал не в мой почтовый ящик, по вменяемому долгу с указанием ФИО, адреса и суммы долга с пенями. Есть ли в этом факт нарушения моих прав на защиту персональных данных?
Сергей (старший юрист)
Здравствуйте, Александр! Нарушения законодательства о персональных данных нет, так как это письмо адресовалось именно Вам и отсутствуют доказательства умышленного распространения персональных данных. Кроме того, не известно, по какой именно причине письмо попало в чужой почтовый ящик. Может быть, это ошибка разносчика.
Александр
Здравствуйте, Сергей! А разве должностное лицо не запечатывая письмо с персональными данными не создаёт умышленно условия для их разглашения?
Сергей (старший юрист)
Нет. Письмо адресовалось Вам, а не размещалось для публичного обозрения. Конечно, Вы можете попытаться доказать обратное, но на это потребуется много времени и денег.
Олег Богородский
На одном из сайтов по биржевой торговле требуют пройти верификацию счёта с предоставлением фотокопии паспорта первой страницы и с пропиской, а также документ подтверждающий прописку. Правомерно ли это.
Сергей (старший юрист)
Здравствуйте, Олег! Ничего противозаконного в установлении личности пользователя нет. Более того, законодательство о противодействии отмыванию преступных доходов обязывает отдельные организации принимать меры по верификации своих клиентов.
Евгения
Добрый день! Работаю в снт бухгалтером. В ходе прокурорской проверки председатель затребовал от меня и кассира объяснительные записки, в которых мы указали свои фио и должности. В результате делопроизводитель выложил в общий чат снт наши объяснительные без нашего согласия и уведомления. Существует ли в этом случае нарушение персональных данных и чести и достоинства со стороны делопроизводителя?
Сергей (старший юрист)
Здравствуйте, Евгения! Формально имеется нарушение законодательства о персональных данных, но вот говорить о нарушении чести и достоинства этим фактом нельзя. Для этого должны быть более веские основания.
Андрей
Добрый день Елена. Коллега занимался соисканием новой должности. Фирма после изучения его резюме предложила пройти собеседование. В течение этого взаимодействия с работниками кадровой службы фирмы, как потом выяснилось они записывали все телефонные переговоры безведома коллеги. Результатом работы с кадровиками стали некоторые предварительные договоренности об условиях работы в новой должности. Когда пришло время уходить со старого места работы, коллеге действующее руководство предложило повышение в должности и более выгодные условия, и он принял решение остаться на старом месте работы. Свое решение сотрудник сообщил и фирме, спустя некоторое время на старое место работы пришло письмо от фирмы с приложением телефонных разговоров коллеги и письмом поясняющим обстоятельства этих переговоров. Вопрос: Возможно ли привлечь фирму должностных лиц за совершенные ими действия, если возможно, какая ответственность предусмотрена законом. С уважением, Андрей
Сергей (старший юрист)
Здравствуйте, Андрей! В действиях данной организации и ее должностных лиц имеются признаки преступления, предусмотренного ч. 2 ст. 138 УК РФ, то есть нарушение тайны телефонных переговоров. Надо писать заявление в следственный комитет РФ о возбуждении уголовного дела.
Юля
Скажите пожалуйста. Мой бывший муж в стадии алкогольного опьянения протаранил своим внедорожником мою машину. Сын в это время все снимал на телефон. Вызвали полицию. Полиция попросила скинуть на флешку снятое видео. На следующий день в Контактах появилась фейковая страница, и выложено это видео. городок у нас маленький, опозорились, у 12 летней дочери нервный срыв. Больше видео кроме ментов не кому не показывалось и не скидывалось, налицо дело рук ментов. Скажите правомерны ли их действия, если нет, то куда обращаться?
Сергей (старший юрист)
Здравствуйте, Юля! Действия однозначно являются противозаконными. Вам необходимо обратиться к начальнику местного РОВД для организации проведения служебной проверки по факту распространения материалов, составляющих тайну предварительного следствия. Также можно обратиться в прокуратуру с жалобой на действия сотрудников полиции.
Александр
При ознакомлении с материалами проверки по моему заявлению сотрудники полиции отказываются предоставить мне для ознакомления объяснение человека, в отношении которого мной написано заявление, ссылаясь на закон о персональных данных. Законно ли поступают в данной ситуации сотрудники полиции. Если нет, предусмотрена ли за это какая-то ответственность? Спасибо.
Сергей (старший юрист)
Здравствуйте, Александр! Действия сотрудников полиции являются незаконными, так как Вы имеете право в соответствии с УПК РФ знакомиться со всеми материалами проверки, касающимися Вас лично. Как минимум, подобные действия полицейских нарушают УПК РФ, что может быть основанием для их привлечения к дисциплинарной ответственности.
Наталья
Здравствуйте! На работе сложилась неприятная ситуация!!! Мой непосредственный начальник дал мне указание выписать из личных карточек форма Т-2 конкретных работников сведения о ФИО, дате рождении, месте проживания и номере телефона - для отчёта. Выписка была произведена в присутствии кадрового работника. Директор в настоящее время проводит служебную проверку и пытается наложить дисциплинарное взыскание за работу с "личными делами". Пояснения моего начальника и мои в расчёт не берутся - нужна "кровь". При трудоустройстве все сотрудники подписывают Согласие на обработку персональных данных. Грозит ли мне дисциплинарное взыскание, если информация была изъята по устному распоряжению моего непосредственного руководителя, для формирования отчёта. Разглашение информации каким бы то ни было третьим лицам, в моих ЛИЧНЫХ интересах! не было. Хотелось бы получить ответ со ссылкой на нормативные акты, для предоставления комиссии по служебной проверке. Спасибо!
Сергей (старший юрист)
Здравствуйте, Наталья! Формально Вы и Ваш непосредственный руководитель нарушили законодательство, так как к персональным данным работников доступ может иметь только специально уполномоченное лицо. Это предусмотрено ст. 88 Трудового кодекса РФ. Поэтому для выстраивания Вашей позиции защиты надо изучить все локальные документы относительно персональных данных и Вашу должностную инструкцию и трудовой договор.
Оксана
Здравствуйте. На работе оставила на столе свои резюме. Сотрудница без моего ведома взяла один экземпляр и передала руководителю.Спустя месяц мне руководитель сказала, что "Случайно" нашла резюме в интернете, хотя это полная ложь, данное резюме у меня существует только в виде файла. Могу ли я привлечь к ответственности сотрудника?
Сергей (старший юрист)
Здравствуйте, Оксана! Оснований для привлечения сотрудницы к ответственности нет, так как она целенаправленно не собирала сведения о Вашей частной жизни, не доводила до сведения широкого круга лиц полученные о Вас сведения. Кроме того, возможность распространения Ваших персональных данных появилась вследствие Вашей неосторожности. Да и в суде Вы не сможете доказать, что именно эта сотрудница взяла и передала руководству Ваше резюме, если, конечно, они сами не признаются в этом.
Светоана
Моя мама обратилилась в районое отделение пенсионного фонда за получением надбавки к пенсии. Там ей сказали что неоходимы оригиналы свидетельств о рождении на детей. При этом сказано что "если не получиться то документы выбросят".куда обратится для привлечения к ответственности работника в случае утраты имдокументов, может при подаче документов необходимо написать список предоставляемых документов иначе потом не докажешь что они были?Какая предусматривается ответственность за утрату дркументов?
Сергей (старший юрист)
Здравствуйте, Светлана! По меньшей мере факт утраты документов будет образовывать дисциплинарный проступок, за который виновное лицо должно понести ответственность от своего начальства вплоть до увольнения. В самых неблагоприятных случаях можно попытаться привлечь чиновника к уголовной ответственности за халатность, но это маловероятно, так как будет необходимо доказать наличие факта причинения значительного ущерба охраняемым законом правам и интересам граждан.
Ирина
Здравствуйте! Работаю в ЧОО. На одном из КПП установлена камера видеонаблюдения,на этом же КПП было нарушение пропускного режима. Я засветилась на видео. Работодатель собрал всех охранников и показал это видео! Правомерны ли его действия? Документ о персональных данных я подписывала,но года 2 назад! Моё согласие на обзор этого видео никто не спрашивал... Что я могу предъявить работодателю?
Сергей (старший юрист)
Здравствуйте, Ирина! В действиях работодателя никакого нарушения нет, так как этим видео никакие Ваши персональные данные не разглашаются. Кроме того, на видео, скорее всего, не специально запечатлены именно Вы, а КПП, являющееся центром фокуса. Поэтому шансы что-то отсудить у работодателя практически равны нулю.
талияНа
сотрудница забежала ко мне в кабинет, назвала меня старой каргой, змеей, пожелала уходить на пенсию и пить с мужем чай. Заведующая не дает мне домашний адрес этой сотрудницы, чтобы я указала его в исковом заявлении об оскорблении личности, ссылаясь на защиту персональных данных. Как мне быть?
Сергей (старший юрист)
Здравствуйте! Действия начальницы являются правомерными, так как без согласия человека нельзя разглашать его персональные данные. Для получения домашнего адреса Вы можете сначала написать заявление в полицию, которая при получении объяснения с этой женщины узнает ее домашний адрес. Вы потом можете ознакомиться с материалами проверки.
Дмитрий
Здравствуйте. я Работаю в системе образования. Недавно органы власти областного уровня спустили сверху указание собрать сведения о родителях части воспитанников Ф.И.О и паспортные данные для того чтобы компенсировать расходы на питание в учреждении. Дело-то хорошее, но вот насколько законно с нашей стороны собирать такие данные?
Сергей (старший юрист)
Здравствуйте, Дмитрий! Сбор подобных данных не будет содержать признаков какого-либо правонарушения, если родители добровольно согласятся предоставить такую информацию. Если Вы им объясните для каких целей необходимы сведения, то, думаю, все родители правильно поймут Вас.
Ольга
Здравствуйте! Я главбух на предприятии. Сотрудница взяла кредит, указала телефон сменщицы кроме своего. Кредит не оплачен. При очередном звонке о задолженности сменщица указала мой личный сотовый телефон. Из вредности. Теперь кредит справляют с меня. Постоянно звонки и смс. На мои объяснения не реагируют. К кредиту отношения не имею совершенно. Как это прекратить? Что мне сказать или написать банку? И возможно привлечь к ответственности физлицо за разглашение моего телефона. Спасибо!
Пособие для отказа от обработки персональных данных по религиозным убеждениям
Что такое «Согласие на обработку персональных данных»
В 2005 году Российская Федерация ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г.). С ратификацией этого международного документа наша страна и мы, её граждане вступили в новую социально-экономическую формацию, в которойполномочия государства и права человека вторичны относительно прав «операторов».
Во исполнение Конвенции в 2006 году в России поспешно принят ФЗ-№152 «О персональных данных» (далее ФЗ-№152), который во всех базовых положениях повторяет Конвенцию. ФЗ-№152 действует с 2006 года, однако до последнего времени при походе в библиотеку или к стоматологу человеку не приходилось давать полный отчёт о своей жизни: себе, семье, работе, собственности.
Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг»
. Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и ФЗ-№152. Именно на основании ФЗ-№152 в последнее время гражданам предлагают подписывать различные бланки«
о согласии на обработку их персональных данных»
по месту работы, учёбы, в детском саду, который посещает ребёнок. Собирают наши «добровольные» согласия школы, поликлиники, библиотеки, все социальные учреждения. Подсуетились и магазины,
которые
при предоставлении скидки раздают анкеты, где мелким шрифтом включена фраза о согласии на обработку персональных данных.
Прежде чем дать такое согласие, человеку необходимо знать, что стоит
за понятиями, употребляемыми в бланках
1.
В соответствии с ФЗ-№152персональные данные
- это
любая информация
, относящаяся прямо или косвенно к физическому лицу.
2.
Понятие«обработка персональных данных»
имеет далеко не такое невинное значение как большинству из нас кажется.
В соответствии с п. 3 статьи 3 ФЗ-№152,«обработка» включает в себя
-
любое действие
(операцию) или совокупность действий
(операций),совершаемых с использованием средств автоматизации или без использования таких средств
с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.
Очень важно понятие «оператор».
Нужно помнить, что оператор независимо от желания человека самостоятельно решает какие персональные данные он собирает и какие действия с этими данными человека совершает.
В соответствии с ФЗ-№152 оператор это - государственный орган, муниципальный орган,юридическое или физическое лицо
,самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющиецели
обработки персональных данных,
состав
персональных данных
,подлежащих обработке,
действия
(операции),совершаемые с персональными данными
.
4. Что прячется за понятием«использование персональных данных»?
Поскольку операторам предоставлено право любых действий с нашими персональными данными, то и принятие юридически значимых решений охватывается этим правом.
Давая согласие на обработку своих персональных данных, человек соглашается на совершение операторамилюбых действий
и манипуляцийс любой своей
,
в том числе и конфиденциальной информацией.
5. В соответствии с ФЗ-№152«распространение»
- это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Поскольку персональные данные - это любая информация о человеке, то распространение - это фактически не контролируемое человеком ознакомление с его самой конфиденциальной информацией любых физических и юридических лицпо усмотрению оператора.
Если оператор сочтёт необходимым, то в процессе обработки-распространения может осуществляться итрансграничная передача персональных данных
-
передача персональных данных оператором через Государственную границу Российской Федерацииоргану власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
6.
ФЗ-№152 даёт практически безграничные возможности для любых манипуляций с нашими персональными данными любому оператору, получившему согласие человека «на обработку персональных данных».
Формальная фраза бланков о праве человека отозвать согласие на обработку персональных данных ничего не решает. К моменту отзыва персональные данные человека уже разосланы в различные базы, где они остаются и используются. Кроме того, отзыв согласия чреват репрессивными мерами оператора. Некоторые операторы предупреждают о них сразу, а другие будут применять на практике без предупреждения. В статью 9 ФЗ-№152 внесены изменения, дающие оператору право продолжать обработку персональных данных и после отзыва согласия на обработку. А изменения в статье 6 этого закона допускают обработку персональных данных без согласия человека при оказании государственных и муниципальных услуг, включая регистрацию на едином портале государственных услуг. Если следовать логике этих положений, никакие электронные услуги не будут оказываться при отказе человека на обработку его персональных данных.
Итак, в информационном обществе на первый план выходит новое лицо - оператор, диктующий свои условия гражданам и государству.
7.
Тысячи граждан по религиозным убеждениям не могут принять автоматизированный способ учета персональных данных, который основывается на использовании личных идентификаторов (СНИЛС, ИНН и других), штрихового кодирования информации, создании баз персональных данных, доступ в которые осуществляется на основании цифровых идентификаторов личности. Использование личных цифровых идентификаторов в любых правоотношениях нарушает право действовать под своим именем, гарантированное статьей 19 Гражданского кодекса РФ. Для верующего человека замена имени цифровым идентификатором неприемлема, поскольку происходит фактическая замена имени, данного при Крещении, цифровым номером, который является пожизненным и становится обязательным условием доступа к любым правам и услугам.
Однако отказ от использования автоматизированного способа учета персональных данных не лишает граждан прав, гарантированных Конституцией РФ.
Первые примеры санкций за отказ предоставить всю информацию о себе в полное распоряжение оператора уже имеются. Так называемые операторы в ответ на отказ дать согласие на обработку персональных данных прекращают гражданам выплату дотаций, не оказывают медицинскую помощь и др. Учащиеся сообщают об угрозах не допустить к экзаменам или не выдать аттестат. Это является грубейшим нарушением прав граждан.
В Конституции РФ права граждан на социальное обеспечение, медицинскую помощь, образование и другие не обусловлены обязательным согласием на обработку персональных данных. Конституция имеет прямое действие и высшую юридическую силу. Граждане имеют право требовать реализации всех своих прав и в случае отказа на обработку персональных данных.
8. 4 февраля 2013 года Архиерейским Собором Русской Православной Церкви принят Документ «Позиция Церкви в связи с развитием технологий учета и обработки персональных данных».
В Документе говорится, что тысячи граждан на основе своих конституционных прав и по религиозной мотивации отказываются от использования новой идентификационной системы.
принцип добровольности принятия любых идентификаторов и указывает, что необходимо
В п. 5 говорится:
«В связи с тем, что обладание персональной информацией создает возможность контроля и управления человеком через различные сферы жизни (финансы, медицинская помощь, семья, социальное обеспечение, собственность и другое), возникает реальная опасность не только вмешательства в повседневную жизнь человека, но и внесения соблазна в его душу. Храмы Владивостока
и церковь разделяет опасения граждан и считает недопустимым ограничение их прав в случае отказа человека дать согласие на обработку персональных данных
».
ПОДРОБНЕЕ- в книге О.А. Яковлевой «Новые технологии и права человека» (тел. издательства8-800-200-84-85
, Интернет-магазинhttps://www.zyorna.ru
) . Подробности - на сайте
https://rodinaprav.info
в разделе «Издания». Правовая информация - на сайте «Союза правоcлавных юристов»
https://rodinaprav.info
Просьба сообщать о фактах нарушения ваших прав при отказе от обработки персональных данных в «Союз православных юристов».
Адрес: 115573, Москва, а/я 137, Яковлевой О.А.
[email protected]
ОБРАЗЕЦ ОТКАЗА, КОТОРЫЙ СТОИТ НОСИТЬ С СОБОЙ
Обращение об отказе от обработки персональных данных по религиозным убеждениям _______________________________
(Наименование организации, ФИО руководителя, предложивших подписать бланк «Согласия», адрес организации)
|
103132, г. Москва, ул. Ильинка, дом 23 |
103265, г. Москва, улица Охотный ряд, дом 1 |
От ___________________________ Адрес: ________________________
Обращение об отказе подписать «Согласие на обработку персональных данных»
(на основании ст. Конституции РФ 2, 3, 15, 18, 23, 24, статьи 19 ГК РФ)
____________________________ (дата)
мне было предложено подписать бланк «Согласие на обработку персональных данных» (моих, моих детей) для ____________________________________________________________
(Указать, для чего получается «Согласие»)
Я не даю согласие на обработку моих (моих детей) персональных данных по религиозным и иным мотивам:
Я являюсь православным христианином (христианкой). Статья 28 Конституции РФ гарантирует каждому гражданину свободу совести, вероисповедания, право иметь религиозные и иные убеждения и действовать в соответствии с ними.
Статья 29 Конституции РФ запрещает принуждение в целях отказа от религиозных и иных убеждений.
Место человека в системе ценностей государства устанавливает статья 2, признающая права и свободы каждого высшей ценностью.
Статья 2. Человек, его права и свободы являются высшей ценностью . Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства.
По религиозным убеждениям не могу принять автоматизированный способ учета персональных данных, который внедряется в России на основании Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года), ФЗ-№152 «О персональных данных», ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг». Эти законодательные акты предусматривают введение автоматизированного учета персональных данных, который основывается на использовании личных идентификаторов (СНИЛС, ИНН и других), штрихового кодирования информации, создании баз персональных данных, доступ в которые осуществляется на основании цифровых идентификаторов личности. Использование личных цифровых идентификаторов в любых правоотношениях противоречит моим религиозным убеждениям и нарушает право действовать под своим именем, гарантированное мне статьей 19 Гражданского кодекса РФ.
Мой отказ от использования автоматизированного способа учета персональных данных не лишает меня (моего ребенка, моих детей) прав, гарантированных Конституцией РФ.
4 февраля 2013 года Архиерейским Собором Русской Православной Церкви принят Документ «Позиция Церкви в связи с развитием технологий учета и обработки персональных данных». Он отвечает требованиям сегодняшнего дня и является действенным методом защиты конституционного права граждан жить в обществе в соответствии со своими религиозными убеждениями.
В Документе обозначена опасность использования идентификатора личности и сбора персональных данных, в том числе детей, создающих угрозу безопасности человека.
В п. 3 говорится :«Использование идентификатора вкупе с современными техническими средствами позволит осуществлять тотальный контроль за человеком без его согласия - отслеживать его перемещения, покупки, расчеты, прохождение им медицинских процедур, получение социальной помощи, другие юридически и общественно значимые действия и даже личную жизнь.
Уже сейчас вызывают тревогу действия по сбору и обработке персональных данных детей, обучающихся в общеобразовательных учреждениях, так как нередко ведется неконтролируемый сбор данных, явно избыточных для обеспечения учебного процесса. Многие верующие выражают принципиальное несогласие с обязательным присвоением идентификационного кода с превращением его в несменяемый, пожизненный и посмертный атрибут...».
В п. 4 Документа говорится, что тысячи граждан на основе своих конституционных прав и по религиозной мотивации отказываются от использования новой идентификационной системы.
В п. 5, выступая в защиту прав своих чад, Церковь заявляет, что упомянутые технологии не должны быть безальтернативными и принудительными. Те, кто отказывается принимать эти технологии, должны иметь альтернативу - использование традиционных методов идентификации личности.
Церковь считает недопустимыми любые формы принуждения граждан к использованию электронных идентификаторов, автоматизированных средств сбора, обработки и учета персональных данных и личной конфиденциальной информации. Реализацию права на доступ к социальным благам без электронных документов необходимо обеспечить материальными, техническими, организационными и, если необходимо, правовыми гарантиями.
Церковь считает особенно важнымпринцип добровольности принятия любых идентификаторов и указывает, что необходимо проявлять уважение к конституционным правам граждан и не дискриминировать тех, кто отказывается от принятия электронных средств идентификации.
Церковь считает недопустимым ограничение прав граждан в случае отказа дать согласие на обработку персональных данных.
В п. 5 говорится: «В связи с тем, что обладание персональной информацией создает возможность контроля и управления человеком через различные сферы жизни (финансы, медицинская помощь, семья, социальное обеспечение, собственность и другое), возникает реальная опасность не только вмешательства в повседневную жизнь человека, но и внесения соблазна в его душу. Церковь разделяет опасения граждан и считает недопустимым ограничение их прав в случае отказа человека дать согласие на обработку персональных данных».
1. Обязательное получение согласия на обработку персональных данных при ______________________
________________________________________________________________________________
(Указать: предоставлении медицинской помощи, выплате пособия, обучении, оформлении сделки и др.)
противоречит Конституции РФ, гарантирующей гражданам данное право без каких-либо условий. В соответствии со статьями 2, 15, 18 права и свободы человека, являющиеся высшей ценностью, действуют непосредственно, а Конституция РФ имеет высшую юридическую силу и прямое действие.
2. В соответствии со статьей 9 ФЗ-№152 «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Согласие на обработку моих персональных данных, (персональных данных моих детей
________
_______
______________________) противоречит моим интересам и интересам моей семьи.
В соответствии с ФЗ-№152 персональные данные - это любая информация , относящаяся к физическому лицу. Понятие «обработка» включает в себя любые действия оператора с персональными данными : сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, в том числе и трансграничную передачу), обезличивание, блокирование, удаление, уничтожение персональных данных.
В 2009 году в ФЗ-№152 «О персональных данных» были внесены изменения, отменившие обязанность операторов по криптографической (шифровальной) защите персональных данных. Отсутствие средств защиты информации делает человека потенциальным объектом любых криминальных манипуляций.
При использовании персональных данных оператор обладает правом принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня (моих детей) или других лиц как субъектов персональных данных.
Получая согласие человека на обработку персональных данных - любой информации обо мне и моей семье - оператор становится их полным хозяином.
Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва «Согласия» уже имеет возможность использовать свои полномочия в полном объеме. Кроме того, в соответствии с п. 2 статьи 9 ФЗ «О персональных данных» в случае отзыва согласия оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных на основании статей 6, 10, 11 ФЗ-№ 152.
3. Получение согласия «на обработку персональных данных - любой информации о человеке» нарушает положения статей 23, 24 Конституции РФ, гарантирующей гражданам право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
4. Предложенный мне бланк «Согласия» нарушает требования статьи 5 «Принципы обработки персональных данных» ФЗ-№152 о недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; об обработке только тех персональных данных, которые отвечают целям их обработки; о соответствии содержания и объема обрабатываемых персональных данных заявленным целям обработки; о недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки.
На основании изложенных доводов я отказываюсь от дачи согласия на обработку моих персональных данных (персональных данных моих детей) и прошу обеспечить мое право на
__________________________________________________________________________________
(У
казать, что необходимо: медицинскую помощь, пенсию, дотацию, бесплатный проезд, обучение, совершение сделки, другое)
Я был (а) предупрежден(а), что в случае отказа подписать «Согласие» мне (моим детям) будет отказано
_____________________________________________________________________________________________________________
(Указать в чем угроза: отказ в медицинской помощи, других услугах, созданы препятствия, другие последствия)
В случае реализации данной угрозы , прошу дать мне аргументированный письменный ответ, который мне необходим для обжалования неправомерных действий должностного лица (служащего) и возмещения материального и морального ущерба.
С уважением, Подпись, дата
Каждый год Роскомнадзор публикует свою статистику по жалобам о неправомерном использовании персональных данных граждан. Уже не первый год банки являются лидерами данного рейтинга. В начале этого года Роскомнадзор сообщил, что на долю банков приходится 14,2 тыс. жалоб граждан и значительно меньше жалоб на других операторов персональных данных. Видимо, для банков еще долго тема использования персональных данных будет актуальна. В данной статье рассмотрены изменения в законодательстве, связанном с персональными данными, а также даны инструкции оператору по правильному поведению, которые позволят не получить штрафы
В феврале 2017 года были приняты поправки в ст. 13.11 КоАП РФ, а именно:
Изменился максимально возможный размер штрафа с 10 тыс. рублей до 75 тыс. рублей. Следует обратить внимание на то, что размер штрафа указан за одно нарушение, если при проверке Роскомнадзор найдет несколько нарушений, то юридическое лицо будет оштрафовано за каждое в отдельности;
Изменилась сама процедура привлечения к административному наказанию, теперь Ромкомнадзору не нужно обращаться в Прокуратуру, функция привлечения к наказанию передана ему.
Чтобы не получать ненужные штрафы, нужно правильно организовать в компании обработку персональных данных.
Не стоит забывать, что в случае судебного спора с организации могут быть взысканы судебные расходы и денежные средства за причиненный моральный вред.
В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Выполняем обязанности оператора
Обязанности оператора можно разделить на два вида: выполняемые при любом положении; выполняемые при определенных обстоятельствах (либо имеются исключения).
|
Выполняемые при любом положении |
Выполняемые при определенных обстоятельствах |
|---|---|
|
1. Соблюдение принципов обработки персональных данных (ст. 5 Закона о персональных данных) |
1. Уведомляем уполномоченный орган о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных), но есть исключения, которые перечислены в ч. 2 указанной статьи: обрабатываемые в соответствии с трудовым законодательством; полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не будут распространяться и будут использованы только в рамках заключенного договора; относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением, не распространяемые без согласия субъекта персональных данных; сделанные субъектом персональных данных общедоступными; включающие в себя только фамилии, имена и отчества субъектов персональных данных и др. |
|
2. Обработка данных, только в случаях, прямо предусмотренных Законом |
2. Предоставление доступа владельцу к его персональным данным (ст. 14 Закона о персональных данных) |
|
3. Защита полученных персональных данных |
3. По требованию владельца произвести следующие действия с персональными данными:
|
|
4. Обработка персональных данных на российских серверах |
4. Оператор персональных данных обязан уведомить / получить согласие владельцев биометрических персональных данных о том, что он производит фото- или видеосъемку. |
|
5. Должно быть назначено ответственное лицо |
|
|
6. Публикуем политику в отношении персональных данных |
Получаем согласие на обработку персональных данных
Согласно положениям Закона о персональных данных, оператор обязан получить согласие от их владельца.
Я бы разделила субъектов персональных данных на две группы: сотрудники и все остальные.
Согласие может быть получено в виде отдельного документа либо в электронном виде, если действия происходят на сайте.
Так, Ростовским областным судом было рассмотрено дело по иску о предоставлении информации и взыскании морального вреда. Обстоятельства дела: истец получил кредитную карту в банке, далее банк сделал переуступку прав требования, новый банк направил истцу уведомление о необходимости явиться в офис банка для подписания документов, Истца смутило, что банк от него не получил согласия на обработку персональных данных, в связи с чем истец направил в банк заявление о предоставлении ему информации, связанной с его персональными данными. Банк от удовлетворения требований истца уберегло грамотно составленное согласие на обработку персональных данных, в котором было указано, что одной из целей обработки является сбор задолженности в случае передачи банком третьим лицам функций и (или) полномочий по обслуживанию кредита и сбору задолженности на основании заключаемых банком договоров с данными лицами.
Работодатель не всегда обязан получать согласие своих работников на обработку персональных данных, а только в том случае, если он планирует:
Обрабатывать биометрические персональные данные;
Использовать полиграф;
Передать данные третьим лицам;
Запросить данные у третьих лиц;
Поручить обработку персональных данных аутсорсеру;
Передать данные в банк, чтобы оформить зарплатную карту;
Передать данные за границу;
Обрабатывать специальные категории персональных данных.
Обезличиваем персональные данные
Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
В случаях когда оператор достигает цели обработки или им потерян интерес к целям, Закон предоставляет оператору право выбора: обезличить или уничтожить персональные данные.
Чтобы обезличить персональные данные оператор выбирает один из методов, указанных в Приказе Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»:
Метод введения идентификаторов - замена части сведений (значений персональных данных) идентификаторами с созданием таблицы;
Метод изменения состава или семантики;
Метод декомпозиции;
Метод перемешивания.
Обратите внимание, что данные методы установлены для государственных органов, для коммерческой организации они необязательны и в компании могут применяться другие.
Конечно, каждому оператору проще было бы просто уничтожать ненужные данные, но есть случаи, когда это невозможно, работодателям нельзя уничтожать большую часть кадровой документации, так как для нее установлен срок хранения.
Другие же операторы обезличивают персональные данные, когда в этом есть необходимость, например медицинской организации для статистики.
Уничтожаем персональные данные
Самый простой способ избавиться от ненужных персональных данных - уничтожить их.
Согласно п. 8 ст. 3 Закона о персональных данных, уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Законом установлены случаи, когда оператор обязан уничтожить персональные данные:
1. Владелец персональных данных требует уничтожить их (ч. 3 ст. 20 Закона о персональных данных). Срок уничтожения - семь рабочих дней с момента поступления требования.
Так, Нижегородским областным судом было рассмотрено дело о неправомерном использовании персональных данных по иску об уничтожении персональных данных и взысканию морального вреда. Обстоятельства дела таковы: между ответчиком и третьим лицом было заключено соглашение о предоставлении овердрафта, впоследствии у третьего лица по данному соглашению образовалась просроченная задолженность. Истец, являющийся адвокатом, в рамках оказания юридических услуг обратился со своего телефонного номера к ответчику для получения информации по задолженности, но в последующем на телефонный номер истца стали неоднократно поступать звонки по вопросу погашения задолженности. Суд удовлетворил требования ответчика в полном объеме, обязал банк уничтожить персональные данные в течение 10 дней с момента вступления решения в силу (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016).
Еще одно дело было рассмотрено Новосибирским областным судом по иску о признании кредитного договора незаключенным, уничтожении персональных данных, взыскании морального вреда и судебных расходов. Обстоятельства дела: истец пришла в магазин бытовой техники, где намеревалась купить товар в кредит, обратилась к кредитному менеджеру, предоставила все необходимые документы, менеджер внес в базу данные истца. Истец, не дождавшись ответа из банка, отказалась от заключения договора, но с того времени ей постоянно поступают звонки из банка с требованием погасить задолженность по кредиту. Суд удовлетворил требования истца, установив, что у банка не было законных оснований на обработку персональных данных истца (Апелляционное определение Новосибирского областного суда от 18.07.2017 по делу № 33-6839/2017).
2. Оператор самостоятельно обнаружил, что неправомерно обрабатывает персональные данные (ч. 3 ст. 21 Закона о персональных данных). Срок уничтожения - 10 рабочих дней с момента выявления оператором такого нарушения;
3. Достигнуты цели обработки персональных данных (ч. 4 ст. 21 Закона о персональных данных). Срок уничтожения - 30 дней с момента достижения цели;
4. Владелец персональных данных отзывает согласие на обработку его персональных данных (ч. 5 ст. 21 Закона о персональных данных). Срок уничтожения - 30 дней с момента поступления отзыва, если для целей обработки данные больше не нужно сохранять.
Исключение: если достигнуты цели обработки или владелец персональных данных отзывает их, оператор имеет право не уничтожать данные, если иное предусмотрено в заключенном сторонами договоре/соглашении либо оператором осуществляется обработка персональных данных на законных основаниях без согласия субъекта персональных данных.
Чтобы уничтожить персональные данные, нужно создать комиссию по уничтожению персональных данных и утвердить акт об уничтожении персональных данных.
В заключение хотелось бы сказать, что принцип, который позволит сэкономить на штрафах и иных расходах, прописан в ст. 6 Закона о персональных данных, а именно: обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным Федеральным законом.
В век новых технологий и интернета любая информация распространяется с огромной скоростью. Социальные сети здорово «помогают» процессу, делая общедоступными персональные данные гражданина . Чаще всего личную информацию предоставляют при устройстве на работу. Для этого существует закон об обработке персональных данных в организации. Этот закон и обсудим в статье.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации :
Что значит обработка?
Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении , так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.
Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях .
Относится ли заработная плата к персональным данным читайте в нашей статье .
Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.
Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.
Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.
Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные , если известно заранее, что цели их обработки несовместимы.
Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.
Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:
- Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
- Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.
Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.
Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств : применение математических операций с этими показателями, а также их корректировка и избавление от них.
Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:
- сбор;
- фиксирование;
- использование;
- уничтожение.
Правила и порядок работы
Личные данные трудящегося , которые необходимы руководителю, состоят из нескольких пунктов:
- Информация об образовании.
- Информация о опыте, а также месте работы, где гражданин прежде трудился и какую должность занимал.
- Краткая информация о членах семьи и их рабочих местах.
- Информация об имеющихся заболеваниях и о здоровье в целом.
В ходе обработки данных трудящегося организации (получении, передачи, и прочем применении) работники кадрового отдела должны придерживаться определенных правил:
Зачем нужно согласие?
Согласие на обработку личной информации – это новшество законодательства, которое защищает персональные данные гражданина от нежелательного использования.
Данное согласие необходимо при устройстве на работу, оформления счета в банке, и прочих важных обстоятельствах. Конкретной формы согласия не существует. Его можно оформить в произвольной форме на бланке, который использует предприятие.
Срок, в течение которого согласие будет действительно, указывается непосредственно в самом документе.
Ответственный за персональные данные в организации
Сотрудника, который будет отвечать за получение, обработку и хранение личной информации назначает директор организации.
Также он может назначить определенных лиц, которые будут иметь доступ к персональным данным . Этот документ лучше всего оформить отдельным . Обычно, за всю работу от начала до конца с персональными данными (сбор, обработку и хранение) отвечают следующие лица:
- Руководитель кадрового отдела.
- Кадровый инспектор.
- Руководитель по персоналу.
- Заместитель руководителя по персоналу.
- Специалист по работе с персоналом.
- Либо допускается введение иной должности.
Образец приказа об ответственных лицах за персональные данные в организации можете скачать .
Учитывая законодательство (Закон №152) сотрудник, который собирает и обрабатывает личные сведения, считается оператором. В данном случае оператором считается руководитель.
Передача и хранение
Хранение важных бумаг, в которых содержатся личные сведения о сотрудниках, происходит в огнеупорных шкафах
, т.е. сейфах. Ключи от сейфа должны находиться все время у директора кадрового отдела. Если директор в какой-то из дней отсутствует, то ключи должны быть у его заместителя.
Если необходимо передать личные данные трудящегося, то работник кадрового отдела обязан придерживаться определенных правил :
- Нельзя предоставлять третьему лицу личную информацию о трудящемся без его согласия в письменном виде.
- Если приходится передавать личные сведения сотрудников, то нужно сообщить тем, для кого предназначается эта информация, что данные сведения можно применять только в тех целях, для которых давался запрос.
- Работник кадрового отдела имеет право доступа исключительно к той информации, которая нужна, чтобы выполнять рабочие обязанности.
- Работник кадрового отдела не имеет таких полномочий, чтобы выяснять информацию о состоянии здоровья сотрудника.
Исключения могут быть в случае, когда информация нужна для предотвращения вреда для здоровья сотрудника и в случаях, которые закреплены законодательством. Кроме этого нельзя разглашать персональные данные сотрудника в коммерческих целях без его разрешения.
Исключением могут быть такие обстоятельства, которые имеют отношение к вопросу о выполнении трудящимся своих должностных обязанностей.
Если какие-либо работники будут уличены в нарушениях порядка сбора, обработки и выдачи личных данных работника организации, то данные лица понесут дисциплинарную и уголовную ответственность согласно Федеральному законодательству.
В статье 5 ФЗ говорится что, личные данные, которые собирают для их обработки принципами автоматизации, либо с использованием других средств, необходимо производить в таком виде, чтобы благодаря ему можно было вычислить субъекта этих данных.
При этом определение субъекта не должно быть продолжительнее, чем это нужно для обработки. И, если обработка была произведена, то уничтожению персональные данные не подлежат определенное время .
Руководитель должен знать об определенных сроках, которые требуются для сохранности некоторой информации. А персональные данные сотрудника необходимо хранить в течение 75 лет .
Узнайте общий порядок организации и перечень действий обработки персональных данных на предприятии из ролика: