Только 28% граждан знакомы с Законом о персональных данных

Закон “О персональных данных”

Федеральный закон от 27 июля 2006 г. N 152-ФЗ
“О персональных данных”

Федеральный закон от 24 апреля 2020 г.

Изменение закона о персональных данных: штрафы по 152-ФЗ в 2020 только вырастут. Как не стать клиентом Роскомнадзора?

Какие сведения относятся к персональным?

Персональные данные (ПД или ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПД). К ней относятся:

  • серия и номер паспорта;
  • дата и место рождения;
  • адрес постоянной регистрации и проживания субъекта;
  • другие идентификаторы, позволяющие определить лицо.

Главной целью закона 152-ФЗ “О персональных данных” является гарантирование защиты прав и свобод человека и гражданина при использовании его персональных данных, обязательно на неприкосновенность частной жизни, личную и семейную тайну.

Характеристика закона “О персональных данных”

Основным направлением действия 152-ФЗ является активная защита личной информации субъекта от неразрешенного доступа к ней и предотвращение незаконного хранения и последующей обработки. Реализация закона пытается решить главную проблему современности — это использование личных данных человека незаконным путем.

Персональные сведения, которые мы указали выше, относятся к индивидуальной информации. Частично ответственность за их распространение можно возложить и на самого владельца таковых, поскольку нередко человек дает согласие на обработку непроверенным операторам либо не обращает внимание, на что дает согласие или подписывает неизученный документ. Однако даже на первый взгляд внушающие доверие организации и их сотрудники допускают промахи.

Для того чтобы сохранить эту информацию персональной (ПЕРСОНА́ЛЬНЫЙ — касающийся только данного или одного лица), органы власти принимают различные меры, в рамках которых операторы по обработке ПДн, получившие данные от физического лица, должны нести ответственность за их полную сохранность. Другими словами, 152-ФЗ был принят с целью недопущения распространения персональных данных граждан без их согласия на это. Именно поэтому главным его правилом остаётся понятие о том, что оператор — это то лицо, которое отвечает за всю конфиденциальность полученной информации.

Что изменилось в 152-ФЗ в 2019 году? (актуально на 2020)

В январе 2019 года вступили в силу поправки к закону “О персональных данных” от 27.07.2006 N 152-ФЗ, о чем команда “ПД-Мастер” говорила в прошлом году. Последняя редакция содержит список нарушений, за которые оператор по обработке персональных данных привлекается Роскомнадзором к ответственности. Выглядит он следующим образом:

  • обработка данных физического лица осуществляется не в соответствии с главными целями;
  • при обработке личных данных отсутствует согласие на ее проведение;
  • ненадлежащее информирование человека о полной политике получения и обработки личной информации или полное отсутствие информирования;
  • персональные данные субъекта были получены оператором по обработке ПДн незаконным путем;
  • личные данные удаляются или уничтожаются;
  • обезличивание персональных данных осуществляется ненадлежащим образом.

Согласно ст. 137 УК РФ, при допущении хотя бы одного из перечисленных нарушений организация, являющаяся оператором по обработке ПД, подлежит административному или уголовному наказанию. Проверка в отношении организации осуществляется представителями Роскомнадзора по инициативе гражданина, который обнаружил нарушения со стороны такой организации в части обработки его ПДн и оформил жалобу в соответствующем порядке.

В июле 2019 года генетический материал человека был приравнен к персональным данным. Это расширило понятие “персональные данные” и снизило шансы злоумышленников на незаконное использование неучтенных личных сведений о человеке.

2020 год и изменения, которые он привнес в ФЗ-152

2 декабря 2019 года был подписан 405-ФЗ “О внесении изменений в отдельные законодательные акты Российской Федерации”. Некоторые из озвученных изменений касаются и ФЗ-152.

Конечно же, основные корректировки связаны с ответственностью. В случае, если оператор ПДн не выполняет при сборе информации, в том числе через сеть «Интернет», обязанность по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных сведений граждан нашей страны с использованием баз данных на территории РФ, ему грозят следующие административные штрафы:

  • гражданину — от 30 до 50 тыс рублей;
  • должностному лицу — от 100 до 200 тыс рублей;
  • юридическому лицу — от 1 до 6 млн рублей.

За повторное нарушение следует их очевидное повышение:

  • гражданин заплатит от 50 000 ₽ до 100 000 ₽;
  • должностному лицу грозит 500 000 ₽ — 800 000 ₽;
  • юридическое лицо в качестве штрафа может заплатить от 6 000 000 ₽ до 18 000 000 ₽.

Еще одно введенное изменение стоит знать индивидуальным предпринимателям. С даты вступления в силу 405-ФЗ лица, осуществляющие предпринимательскую деятельность, приравниваются к юридическим. Соответственно, будут нести ответственность как более крупные организации.

В пояснительной записке к закону говорится, что введение изменений направлено на повышение ответственности к процессу сбора, хранения и обработки персональных данных в организации своих сотрудников, клиентов, контрагентов и прочих участников ее деятельности. Также корректировки направлены на стимулирование поддержания организационно-распорядительной документации и прочих документов по персональным данным в актуальном состоянии.

Внесение поправок в действующих закон еще раз напоминает о необходимости локализации хранилищ ПДн граждан РФ на ее территории. Шокирующие размеры штрафов заставят задуматься о правильности работы процесса сбора, хранения и обработки ПД в организации, говорят разработчики. Опыт некоторых стран — Турции и Германии — подтверждает эффективность введения подобных жестких мер в отношении бизнеса в России. С другой стороны, что с ним будет, если нормы закона соблюсти не получится, а многомиллионные штрафы лишат его “право на жизнь”.

обработка данных физического лица осуществляется не в соответствии с главными целями;.

Статья 7. Конфиденциальность персональных данных

Статья 7. Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Отказывая в удовлетворении требований, суды руководствовались статьями 20.

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Читайте также:  Судебная практика по спорам, когда сосед не отступил 1 метр от границы участка

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Неполучение согласия на трансграничную за пределы РФ передачу персональных данных;.

Общая суть

Процесс обработки персональных данных заключается в сборе, хранении, систематизации и удалении информации.

Какие положения регулирует данный закон:

  • сбор, хранение и обработка персональных данных должна осуществляться в добровольном порядке. Гражданину должно быть предоставлено право выбора, соглашаться на обработку данных или нет;
  • исполнение данного постановления должно быть направлено на защиту и свободу граждан России, отхождения недопустимы;
  • обработка и хранение персональных данных следует осуществлять в рамках действующего законодательства. Должны быть соблюдены сроки и требования.

Какие положения не регулируются законодательством:

  • обработка данных не используется для личных целей физических лиц;
  • обработка и хранение информации, связанной с государственной тайной;
  • данные, полученные в результате проведения судебного разбирательства;
  • информация, которая относится к деятельности органов судебной власти.

Цель закона ст 2.

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр.

Статья 22. Уведомление об обработке персональных данных

Ст. 22 Закон о персональных данных в последней действующей редакции от 1 сентября 2015 года.

Новые не вступившие в силу редакции статьи отсутствуют.

6 необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;.

Что такое персональные данные с точки зрения УК РФ

Согласно п. 1 ст. 3 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ персональными данными признается любая информация, так или иначе относящаяся к физическому лицу и позволяющая идентифицировать его. Иными словами, это может быть все что угодно — от фамилии человека до его антропометрических особенностей.

Указом Президента РФ от 06.03.1997 № 188 информация о частной жизни гражданина отнесена к сведениям конфиденциального характера, следовательно, разглашению и несанкционированному сбору не подлежит.

Уголовно-правовая защита такого рода сведений реализована в ст. 137 УК РФ. Название нормы позволяет распространить ее на все виды сведений о фактах, обстоятельствах и событиях частной жизни гражданина.

Таким образом, к понятию «частная жизнь», неприкосновенность которой охраняет ст. 137 УК РФ, можно отнести следующую информацию о человеке:

  • данные непосредственно о самой личности, включая реквизиты удостоверяющих документов, сведения о месте пребывания (проживания) человека и его жилище;
  • данные о родственниках и иных близких людях;
  • сведения, составляющие иную тайну, охраняемую законом (информацию о вкладах и счетах в кредитных организациях, об усыновлении, содержание телефонных переговоров, переписки (в том числе электронной), телеграфных сообщений, факт составления и содержание завещания и т. д.).

Кроме того, в эту же категорию входят сведения, отнесенные к налоговой, адвокатской, врачебной тайне, информация, полученная в ходе исповеди (тайна исповеди). Интересную статью о категориях персональных данных предлагает к прочтению КонсультантПлюс. Оформить доступ к системе КонсультантПлюс можно бесплатно здесь.

Сбор таких сведений и тем более разглашение без согласия их носителя возможны только в случаях, прямо предусмотренных законом. Например, в рамках расследования или рассмотрения уголовного дела, в ходе исполнения судебного решения и т. д.

Читайте также:  Что такое субсидия на жилье 2020: как получить, виды и размер субсидий, документы

В иных ситуациях сбор и распространение данных о частной жизни есть прямое нарушение ст. 23–24 Конституции РФ. Лицо, допустившее такое нарушение, рискует подвергнуться уголовному преследованию.

Чтобы случайно не разгласить чужие персональные данные, ознакомьтесь с порядком обработки персональных данных.

Важно! На разглашение некоторых сведений, отнесенных к тайне, могут распространяться иные, более узкие нормы УК РФ. Так, например, ответственность за нарушение тайны усыновления должностным лицом, обязанным сохранять ее конфиденциальность, наступает по ст. 155 УК РФ.

Согласно диспозиции ст.

Персональные данные в протоколе ОСС

Действительно, согласно п.п. 12–15 приказа Минстроя РФ от 28.01.2019 № 44/пр, во вводной части протокола ОСС необходимо указать сведения об инициаторах собрания и проголосовавших на ОСС лицах, в том числе паспортные данные.

Напомним, что ещё во время общественного обсуждения проекта приказа № 937/пр, действовавшего до 5 марта 2019 года и утратившего силу после подписания № 44/пр, общественность выразила недовольство и обеспокоенность тем, что персональные данные окажутся в свободном доступе.

Под свободным доступом понималась выгрузка электронных образов протоколов ОСС в ГИС ЖКХ. Ни много ни мало, в систему размещаются:

  • ФИО собственника,
  • номера квартир (комнат),
  • реквизиты права собственности на недвижимое имущество.

Закон принят, и согласно приказу Минстроя РФ и Минкомсвязи РФ от 29.02.2016 № 74/114/пр, после того, как был подписан протокол ОСС, УО отводится 10 дней на раскрытие сведений об ОСС в ГИС ЖКХ:

  • число участников голосования по вопросам повестки дня;
  • количество голосов: «за», «против», «воздержался» по каждому вопросу повестки дня;
  • протокол ОСС;
  • решения проголосовавших (для заочного голосования – бюллетень).

Но персональные данные, хотя и находятся в системе, однако размещены далеко не в открытом доступе. Документы, содержащие персональные данные, находятся в закрытой части системы и доступны только лицам с соответствующими правами доступа.

реализации судебного акта, акта органа либо должностного лица,.

Куда требуется предоставлять персональные данные

Сегодня передача личных сведений является широко распространенным явлением. Предоставлять персональные данные нужно, например, при устройстве на работу, подаче заявлений в садик, школу, другие учебные заведения, больницы, поликлиники, банковские, кредитные учреждения и т.д.

При этом закон в отношении лиц, разгласивших чью-либо личную информацию довольно суров он предусматривает наказание, начиная от крупного административного штрафа и вплоть до возбуждения уголовных дел.

Закон о персональных данных убивает журналистику?

Герман Галкин, редактор сетевого издания Lentachel.ru

С 1 июля произошло ужесточение законодательства, серьезно затрудняющее работу средств массовой информации. При этом прошедшая 28 июня видеоконференция Уральского управления Роскомнадзора не сильно внесла ясность в перечень новых запретов и ограничений. Более того, выяснилось, что сотрудники уральского и челябинского Роскомнадзора по-разному понимают вводимую систему ограничений.

О том, что можно считать главным ограничением, уже говорили. Теперь фактически закрыта сама возможность журналистских расследований, без которых журналистики вообще-то не бывает. Закон о защите персональных данных резко ужесточает ответственность за несогласованное разглашение этих самых персональных данных граждан. Понятно, что журналистов интересуют чаще всего не рядовые граждане, а политики, чиновники, известные предприниматели, руководители силовых структур. Те или иные нарушения закона допускают все вышеперечисленные категории лиц. Беда для прессы теперь в том, что, если журналисты допустили «утечку» персональных данных, это будет расцениваться как …злоупотребление свободой СМИ. А персональные данные – это фактически любая информация об объекте журналистского расследования. Редакция СМИ может в два счета получить предупреждение Роскомнадзора. Не стоит лишний раз напоминать, что два предупреждения за год – уже есть повод для иска в суд о прекращении деятельности средства массовой информации. Фактически в России таким образом запрещают журналистику.

Я не преувеличиваю. Поскольку даже при использовании данных из открытых источников прессу теперь дополнительно ограничивают. Отныне журналисты имеют право брать из открытых источников только имя и фамилию (без отчества) героя материала, а также его должность или место работы. Описывать, где человек и как живет, с кем общается, уже будет считаться нарушением закона. Причем, для СМИ будет нарушением закона опубликовать даже то, что человек сам опубликовал о себе в социальных сетях. Понятно, что можно поступить по-другому: подробно рассказать о жизни человека, но изменить имя или использовать лишь инициалы. Однако в этом случае становится уже непонятно, о ком идет речь. И теряется сам смысл журналистской работы. Благодаря прессе цивилизованное общество контролирует деятельность высокопоставленных должностных лиц, включая депутатов, мэров, губернаторов, президента.

Согласно введенным изменениям в закон о персональных данных, главным критерием для того же Роскомнадзора является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно, видите ли, свободно размещать в СМИ. Правда, возникает вопрос – кому такая информация вообще будет нужна?

На встречах с юными журналистами я всегда советую читать «Универсального журналиста» Дэвида Рэндалла. Эта книга была написана в помощь молодым журналистам именно России. Напомню ключевой, на мой взгляд, момент из этого пособия: «Хорошие журналисты во всем мире одинаково понимают свою роль. Прежде всего, это означает задавать вопросы и сомневаться. Затем:

– Отыскивать и публиковать информацию вместо слухов и измышлений.

– Сопротивляться правительственному контролю или вовсе избегать его.

– Тщательно расследовать действия и бездействие правительств, выборных представителей и общественных организаций.

– Исследовать мир бизнеса, обращение с рабочими и покупателями и качество продукции.

– Облегчать жизнь пострадавшим и тревожить удобно устроившихся, предоставляя свой голос тем, кто лишен возможности быть услышанными.

– Держать зеркало у лица общества, показывая его достоинства и пороки, развенчивая лелеемые им мифы.

– Работать на торжество правосудия, демонстрируя его победы и расследуя поражения.

– Содействовать свободному обмену идеями, особенно – такими, которые идут вразрез с господствующей идеологией.»

В условиях изменившегося российского законодательства выполнять свое вышеописанное предназначение СМИ в России больше не смогут. На нас надели намордник в лице указанного закона и Роскомнадзора. Теперь автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. В некоторых ситуациях это согласие должно быть дано еще и в письменной форме – эти случаи перечислены в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». В частности, в статье 8 говорится: «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.» И тут же добавляется: «Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

Разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Как, скажите, описывать теперь работу политиков? У каждого из них каждое СМИ теперь до публикации должно спрашивать разрешения на обнародование его политических взглядов? Даже если он состоит в той или иной партии? Абсурд.

Нелегче с фото и видеоматериалами. Если на фото и видео можно опознать человека, это считается распространением биометрических данных и требует …согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ опять-таки есть лишь один выход – публиковать фотографии без подписей или давать минимальную информацию под ними. И то это будет рискованно.

Во время видеоконференции 28 июня я, как редактор сетевого издания Lentachel.ru, задал вопрос представительнице Уральского управления Роскомнадзора, которая вела конференцию. Вопрос касался одной из прежних наших публикаций, в которой челябинское управление Роскомнадзора усмотрело нарушения и потребовало убрать подробности происшествия. А происшествие было такое. На сайте службы спасения рассказывалось, как мужчина бросился с моста в реку. И прямо говорилось про попытку суицида. В публикации на Lentachel.ru не использовались слова “суицид”, “самоубийство”, тем не менее челябинский Роскомнадзор решил, что детали происшествия указывают именно на попытку самоубийства и потребовал скорректировать заметку или же вовсе удалить с сайта. Мы пошли первым путем. И внесли корректировку: “Новость временно отключена в связи с жалобой от Роскомнадзора в адрес сайта Lentachel.ru. В новости была информация от пресс-службы областной поисково-спасательной службы о том, что мужчина что-то сделал, о чем нельзя говорить на нашем сайте, но можно говорить на сайте областной поисково-спасательной службы.”

Я описал этот случай представительнице уральского управления Роскомнадзора в присутствии всех участников видеоконференции. В ответ услышал, что достаточно было внести слово “предположительно” рядом со словом “самоубийство”. И вопрос был бы снят. Я пояснил, что у нас в заметке в принципе не было слова “самоубийство”. Стало быть, и сглаживать словом “предположительно” было нечего. Ведущая видеоконференции замялась. Потом сослалась на то, что не видит контекст.

Какие можно сделать выводы? Во-первых, что журналистика посредством новых законодательных ограничений уничтожается фактически в России на корню. Цензура по Конституции запрещена. Однако есть масса ограничений, которые фактически лишают журналистов возможности заниматься журналистикой. Во-вторых, есть основания думать, что отдельно взятый челябинский Роскомнадзор превышает свои полномочия. В-третьих, что в системе Роскомнадзора нет четких критериев оценки для обнаружения нарушений. А значит, драконовские изменения в законах будут дополнительно усилены своеобразным «пониманием» их применения в данном контролирующем ведомстве.

На видеоконференции челябинские журналисты просили представителя ведомства выдать письменные инструкции, что все-таки будет запрещено с 1 июля. Однако таковых не дождались. Как пояснила представительница Уральского управления Роскомнадзора, каждый случай индивидуален. Поэтому и решать Роскомнадзор будет индивидуально с каждым. Ничего хорошего для СМИ такой подход не сулит.

При таких ограничениях, да еще и «творческих» подходах Роскомнадзора прессе работать будет чрезвычайно трудно, если вообще возможно. Надо будет, видимо, уточнить имена тех, принимал данный безумный закон. И конечно, запомнить имена тех, кто с таким усердием его исполнял. Когда придет время закон о персональных данных в его нынешнем виде отменять (не факт, что все нынешние СМИ к тому времени выживут), можно будет вспомнить “героев” поименно. И воздать им по заслугам. Разумеется, в соответствии с нормами закона!

В Роскомнадзоре уже приводили пример, когда публикация о доходах госслужащего была определена как нарушение закона! Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги. В тексте журналист дописал должность жены служащего и прочую информацию. Последовала жалоба от «пострадавших».

Читайте также:  Сколько стоит приватизировать квартиру и можно ли сэкономить

Претензии теперь могут, оказывается, возникнуть даже к публикациям, где дается справка о карьерной истории чиновника – где он учился, жил, работал. И в таком случае журналисту будет необходимо брать согласие у «субъекта персональных данных».

Надо будет, видимо, уточнить имена тех, принимал данный безумный закон.

Закон №152-ФЗ о персональных данных: как обезопасить бизнес от штрафов?

Нарушение №1: Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ).
Приведем пример: организация-работодатель собирает персональные данные работников в отношении их религиозных предпочтений. Или организация передает персональные данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода).
Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. Штраф в данном случае:
для граждан – в размере от 1000 до 3000 руб.;
для должностных лиц – от 5 000 до 10 000 руб.;
для юридических лиц – от 30 000 до 50 000 руб.

Нарушение №2: Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обязательные сведения – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:
для граждан – в размере от 3000 до 5000 руб.;
для должностных лиц (например, директор, кад-
ровик или ИП) – от 10 000 до 20 000 руб.;
для организаций – от 15 000 до 75 000 руб.

Нарушение №3: Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Штраф в данном случае предусмотрен пунктом 2 статьи 18.1 Закона №152-ФЗ (ч.3 статьи 13.11 КоАП РФ):
для граждан – от 700 до 1500 руб.;
для должностных лиц (например, директора или главбуха) – от 3000 до 6000 руб.;
для индивидуальных предпринимателей – от 5000 до 10 000 руб.;
для организаций – от 15 000 до 30 000 руб.

Нарушение №4: Субъект персональных данных, то есть, физическое лицо, кому принадлежат эти данные, имеет права на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона №152-ФЗ):
– подтверждение факта обработки персональных данных оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые оператором способы обработки персональных данных;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и ад-рес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
В этом случае административная ответственность:
для граждан – от 1000 до 2000 руб.;
для должностных лиц (например, директора, кадровика или бухгалтера) – от 4000 до 6000 руб.;
для индивидуальных предпринимателей – от 10 000 до 15 000 руб.;
для юридических лиц (организаций) – от 20 000 до 40 000 руб.

Нарушение №5: Статья 21 Закона №152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц. Невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки).
Административная ответственность в этом случае:
для граждан – от 1000 до 2000 руб.;
для должностных лиц (например, директора, кадровика или главбуха) – от 4000 до 10 000 рублей;
для ИП – от 10 000 до 20 000 рублей;
для юридических лиц – от 25 000 до 45 000 руб.

Нарушение №6: Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки баз данных. Законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:
для граждан – от 700 до 2000 руб.;
для должностных лиц (например, руководителя) – от 4000 до 10 000 руб;
для индивидуальных предпринимателей – от 10 000 до 20 000 руб;
для организаций – от 25 000 до 50 000 руб.
Указанные штрафы налагаются за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа от 15 000 до 75 000 руб. в итоге может вырасти до весьма внушительных размеров.

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:
– в паспорте;
– в военном билете (у военнообязанных);
– в свидетельстве о присвоении ИНН;
– в страховом пенсионном свидетельстве;
– в документах об образовании;
– в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
– в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.
Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.
Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152.
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).

К сведению:
Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Материал подготовлен с помощью СПС Консультант Плюс.
Партнер рубрики «Аграрное право»

Информационное агентство «Светич»
Журнал «Нивы России» №11 (155), декабрь 2017

Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие.

Если не получить согласие на обработку и использование персональных данных

Согласие оформляется в письменном виде а если данные передаются через интернет, в электронном.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Размер заработной платы, выплачиваемой работнику, относится к его персональным данным письмо Роскомнадзора от 07.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий.

Добавить комментарий