Иски о защите прав субъекта персональных данных что это

Обновлено: 17.06.2024

Из ст.6.1 63-ФЗ следует, что адвокатский запрос представляет собой официальное обращение адвоката в органы власти, различные организации о предоставлении сведений, справок, характеристик и прочих документов, без которых невозможно оказание квалифицированной правовой помощи. Ответ на запрос организации обязаны предоставить в течение 30 суток, а если требуется дополнительное время на сбор сведений, то указанный срок может быть продлен еще на 30 дней.

Если организация или орган власти не предоставит адвокату запрашиваемую информацию, передаст ее в искаженном виде или нарушит установленные сроки, то их ждет административная ответственность по ст.5.39 КоАП. Возможное наказание за нарушение достаточно мягкое – штраф от 5 до 10 тысяч рублей. Однако есть ситуации, при которых организации не обязана предоставлять адвокату запрашиваемые сведения:

  1. Организация не располагает интересующей юриста информацией.
  2. Адвокатский запрос составлен с нарушением закона, либо не соблюден алгоритм его подачи.
  3. Требуемые сведения относятся к информации с ограниченным доступом.

Если с первыми двумя пунктами все понятно, то на третьем стоит остановиться поподробнее. Итак, доступ к информации может быть ограничен в целях необходимости защиты конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности страны. В 149-ФЗ сказано, какая именно информация находится в ограниченном доступе:

  • государственная тайна;
  • коммерческая тайна;
  • профессиональная тайна;
  • служебная тайна;
  • личная тайна;
  • семейная тайна;
  • персональные данные граждан;
  • иная охраняемая законом информация.

По общему правилу, указанные сведения по адвокатскому запросу не предоставляются.

Когда персональные данные по адвокатскому запросу могут быть предоставлены

Согласно ст.7 152-ФЗ, лица, имеющие доступ к персональным данным, обязаны не передавать информацию третьим лицам без согласия на то субъектов персональных данных. Иными словами, если гражданин, предоставивший свои персональные данные, дал такое согласие, то сведения могут быть переданы в рамках адвокатского запроса.

Что делать гражданину, не желающему, чтобы его персональные данные передавались третьим лицам (в том числе через адвокатский запрос)? Физлицо вправе отозвать свое согласие путем направления соответствующего уведомления в адрес оператора (например, администратора доменного имени и т.д.). Точный адрес для отправки уведомлений, как правило, указывается в Политике конфиденциальности. Оператор, получивший письмо, обязан удалить персональные данные в течение 30 дней. Однако гражданин должен быть готов к тому, что вторая сторона прекратит договорные отношения.

Почему это возможно?

Есть еще один момент, который заключается в цели обработки персональных данных. Например, во многих типовых согласиях на обработку персональных данных основной целью регистратора доменного имени является выполнение услуг по Договору, заключенному с заказчиком (обслуживание доменного имени, направление уведомлений, обработка заявлений от клиента и т.д.). В приложении к согласию могут быть указаны IT-организации, которым может передаваться информация, и с технической точки зрения без такой передачи регистратор действительно не состоянии осуществлять свою деятельность. Однако, например, передача данных по адвокатскому запросу никаким образом не связана с целью сбора персональных данных регистратором. Следовательно, если гражданин запретит передавать свои данные именно по адвокатским запросам, то регистратор обязан выполнить это требование: прочие действия по обработке персональных данных будут продолжены.

Алгоритм действий будет выглядеть примерно следующим образом:

Сайты, передавшие без согласия граждан персональную информацию о них по адвокатскому запросу, могут быть оштрафованы по ст.13.11 КоАП РФ на сумму 75 тысяч рублей. Граждане, пострадавшие от незаконных действий оператора, могут обратиться в суд. Конечно, чаще всего граждане судятся с кредитными учреждениями по поводу предоставления последними персональных данных коллекторским организациям. Однако встречаются ситуации, когда субъекты подают в суд и по причине неправомерной передачи данных по адвокатским запросам.

Приведем пример

Три гражданина обратились в суд с иском к администрации МО Репьевский сельсовет об обязании прекратить передачу и обработку их персональных данных, уничтожении персональных данных граждан и компенсации морального вреда. Было установлено, что сельсовет по адвокатскому запросу предоставил персональные данные из похозяйственной книги о месте проживания истцов. Граждане не предоставляли своего согласия администрации МО Репьевский сельсовет на обработку своих данных.

Также суд обнаружил следующие нарушения:

  • адвокатский запрос не содержал данных о лице, в чьих интересах действует адвокат;
  • администрация предоставила данные о трех гражданах, хотя адвокат запрашивал информацию только на одного субъекта.

По этим причинам иск граждан был удовлетворен: МО Репьевский сельсовет было запрещено обрабатывать и передавать персональные данные третьих лиц. Однако компенсация морального вреда оказалась совсем небольшой: вместо 100 тысяч на каждого истца суд присудил по 1 500 рублей. Если бы граждане представили убедительные доказательства своих моральных страданий, скорее всего, компенсация была бы намного выше.

Итак, как мы видим, адвокатский запрос имеет меньшую юридическую значимость, чем, например, запрос правоохранительных органов. И поэтому у гражданина есть реальная возможность сохранить свои персональные данные в тайне. Однако каждая ситуация сугубо индивидуальна, поэтому если Вы хотите узнать, как можно защитить собственную личную информацию, - посоветуйтесь с опытным уголовным адвокатом.

Быть оператором персональных данных не просто. Дело не в сложности и запутанности законодательных актов, регламентирующих права и обязанности субъектов и операторов персональных данных, а в том, что все же данная область контролируема и все же нарушения требований законодательства наказуемы, что доказывается судебной практикой, проанализированной нашими специалистами за последние несколько лет.

В судебной практике по Южному федеральному округу за 1 квартал 2020 года Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций были выявлены нарушения в части обработки и защиты персональных данных.

Результат рассмотрения дела

Часть 1 статья 6 152-ФЗ

Нарушение выявлено в обработке должностным лицом избыточных персональных данных гражданина при предоставлении ему соответствующей услуги, а именно обработке таких данных о гражданине, как номер банковской карты, логин и пароль от личного кабинета гражданина сайта государственных услуг.

По результатам рассмотрения обращения в отношении должностного лица государственного учреждения составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ

Выявлено нарушение в обработке персональных данных гражданина несовместимой с целями сбора персональных данных. А именно, на гражданина без его согласия и волеизъявления была выпущена банковская карта. С целью дальнейшей работы с данной картой с гражданином Банк начал взаимодействовать путем осуществления выездов по месту его жительства и размещения листовок, содержащих персональные данные гражданина под входной дверью квартиры. Согласие на использование персональных данных с целью выпуска банковской карты, а также взаимодействия с целью обслуживания данной карты, гражданин Банку не давал.

По результатам рассмотрения обращения отношении Банка составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ. Протокол со всеми материалами был направлен в мировой суд для рассмотрения

Нарушение выразилось в том, что на электронную почту гражданина поступило письмо от государственного органа, адресованное другому гражданину. В данном письме указывались персональные данные, позволяющие идентифицировать иного гражданина, а именно, ФИО, адрес проживания, адрес электронной почты.

При рассмотрении обращения факт нарушения ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" был подтвержден. С целью соблюдения законодательства в области персональных данных в отношении граждан в адрес государственного органа направлено письмо-требование о недопущении в дальнейшей деятельности аналогичных нарушений.

Нарушение выразилось в том, что персональные данные гражданина размещены на сайте администрации, в объеме - фамилия, имя, отчество, год рождения, паспортные данные и место жительства. После получения запроса, администрация самостоятельно удалила персональные данные гражданина с сайта.

Однако в целях пресечения возможных нарушений законодательства в области персональных данных в отношении других граждан в адрес администрации направлено письмо о недопущении в дальнейшей деятельности администрации нарушений конфиденциальности в отношении персональных данных субъектов персональных данных.

Нарушение выразилось в том, что на сайте образовательного учреждения размещены договоры пожертвования, содержащие персональные данные (фамилия, имя, отчество, год рождения, адрес регистрации, паспортные данные) гражданина. Согласие на размещение своих персональных данных гражданин образовательному учреждению не давал. В ответ на запрос образовательное учреждение правовых оснований размещения на сайте персональных данных заявителя не предоставило.

Статья 10 152-ФЗ

Учитывая, что срок давности привлечения к административной ответственности по ч. 2 ст. 13.11 КоАП РФ, установленный ст. 4.5 КоАП РФ, истек, банк к административной ответственности не привлекался

Правонарушения согласно статье 13.12 КоАП РФ

В части несоблюдения правил защиты информации согласно статье 13.12 КоАП РФ выделяют правонарушения и ответственность за их невыполнение, представленные в таблице ниже:

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)

Влечет наложение административного штрафа:

  • на граждан в размере от одной тысячи до одной тысячи пятисот рублей;
  • на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей;
  • на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)

Влечет наложение административного штрафа:

  • на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой;
  • на должностных лиц - от двух тысяч пятисот до трех тысяч рублей;
  • на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну

Влечет наложение административного штрафа:

  • на должностных лиц в размере от двух тысяч до трех тысяч рублей;
  • на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей.

Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну

Влечет наложение административного штрафа:

  • на должностных лиц в размере от трех тысяч до четырех тысяч рублей;
  • на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)

Влечет наложение административного штрафа:

  • на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от двух тысяч до трех тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от двух тысяч до трех тысяч рублей;
  • на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток

Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи

Влечет наложение административного штрафа:

  • на граждан в размере от пятисот до одной тысячи рублей;
  • на должностных лиц - от одной тысячи до двух тысяч рублей;
  • на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.

Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния

Влечет наложение административного штрафа:

  • на граждан в размере от одной тысячи до двух тысяч рублей;
  • на должностных лиц - от трех тысяч до четырех тысяч рублей;
  • на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.

Правонарушения выявленные в части средств криптографической защиты информации

В части применения средств криптографической защиты информации или неприменения таковых при обработке персональных данных были выявлены следующие нарушения:

Судебные прецеденты

При проведении плановой проверки были выявлены следующие нарушения обязательных требований в области обработки персональных данных:

В г. Владикавказе в 2017 г. директор филиала УФПС – должностное лицо, был признан виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ с назначением административного наказания в виде штрафа. Нарушение – не проведены аттестационные испытания государственной информационной системы на соответствие требованиям безопасности информации.

Были выявлены нарушения в части предоставления уведомления об обработке. Администрация представила уведомление об обработке персональных, на основании которого была внесена в реестр операторов. Дополнительно от Администрации поступили информационные письма о внесении изменений в реестр операторов. Анализ содержания информации на предмет соответствия фактической деятельности Администрации показал ряд несоответствий, а именно: не указаны в полном объеме: цели обработки персональных данных, категории персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, действия с персональными данными, способы обработки персональных данных, меры, предусмотренные статьями 18.1 и 19 Федерального закона. Также указана недостоверная информация о назначении ответственного за организацию обработки персональных данных и дата начала обработки персональных данных.

В отношении администрации составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ.

В целях принятия мер прокурорского реагирования материалы были направлены в органы прокуратуры по территориальной подведомственности.

По результатам проверки, проведенной прокуратурой Октябрьского района г. Уфы, факт нарушения законодательства подтвердился.

Прокуратурой района в адрес администратора сайта подготовлено представление об устранении нарушений и постановление о возбуждении дела по ст. 13.11 КоАП РФ в отношении должностного лица, ответственного за обработку персональных данных.

Ниже в таблице 3 представлены последствия за нарушение законодательных норм.

Статья 5.39 КоАП РФ

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб

Часть 1 ст. 13.11 КоАП РФ

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.

Часть 2 ст. 13.11 КоАП РФ

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.

Часть 3 ст. 13.11 КоАП РФ

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.

Часть 5 ст. 13.11 КоАП РФ

Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)

Предупреждение или административный штраф:

  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Часть 6 ст. 13.11 КоАП РФ

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.

Часть 7 ст. 13.11 КоАП РФ

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов

Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Статья 19.7 КоАП РФ

Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде

  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.

Статья 140 УК РФ

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан

Штраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет

Статья 272 УК РФ

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование

Штраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок

Статья 24 152 ФЗ, ст. 151 ГК РФ

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных

Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)

Подпункт "в" п. 6 ч. 1 ст. 81 Трудового кодекса

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей

Статья 90, ст. 192 ТК РФ

Иные нарушения в области персональных данных при их обработке

Замечание или выговор

Таким образом, несоблюдение требований законодательства в области обработки и защиты персональных данных может грозить серьезными последствиями не только оператору персональных данных, но и должностным лицам, обеспечивающих обработку и безопасность таких данных. Несмотря на незначительные штрафы в случаях нарушений законодательных норм неоднократное повторение правонарушений может привести к исключению оператора ПДн из реестра операторов ПДн, а также к прекращению деятельности Оператора в целом.

Для недопущения подобных ситуаций рекомендуется проводить периодический внутренний и внешний аудит по защите персональных данных. В случае, если результаты аудита покажут нарушения законодательства Российской Федерации в области защиты конфиденциальной информации, в том числе персональных данных, то рекомендуется в кротчайшие сроки все несоответствия и нарушения устранить. Все эти работы могут быть переданы нашим сотрудникам , которые оперативно проведут аудит и помогут Вам привести в порядок режим обработки персональных данных.

Актуально?
Мы готовы провести аудит и оперативно приведём к требованиям режим обработки персональных данных на вашем предприятии.

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Судебная практика и законодательство — 152-ФЗ О персональных данных. Статья 14. Право субъекта персональных данных на доступ к его персональным данным

В случае, если в служебные обязанности сотрудников органов внутренних дел Российской Федерации и должностные обязанности федеральных государственных гражданских служащих, замещающих данные должности, входит обработка персональных данных либо осуществление доступа к персональным данным, либо если сотрудники органов внутренних дел Российской Федерации и федеральные государственные гражданские служащие, замещающие эти должности, реализуют права субъектов персональных данных в соответствии со статьей 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

2.1. В защищаемые помещения допускаются федеральные государственные гражданские служащие, в должностные обязанности которых входит обработка персональных данных (далее - защищаемая информация) либо осуществление доступа к защищаемой информации, а также субъекты персональных данных в соответствии со статьей 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - субъекты персональных данных).

Обращения и запросы субъектов персональных данных или их представителей, поданные в соответствии со ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", направляются лицу, ответственному за организацию обработки персональных данных в центральном аппарате (территориальном органе) Службы.

7.1. К работе с персональными данными допускаются работники, замещающие должности федеральной государственной гражданской службы ФССП России, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, а также работники, реализующие права субъектов персональных данных в соответствии со статьей 14 Федерального закона "О персональных данных".

Обращения и запросы субъектов персональных данных или их представителей, поданные в соответствии со ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", направляются лицу, ответственному за организацию обработки персональных данных в центральном аппарате (территориальном органе) Службы".

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

20. Участник ЕГЭ, а также его родители (законные представители) имеют право на получение сведений об операторе ФБД ЕГЭ (РБД ЕГЭ), о месте его нахождения, о наличии у оператора ФБД ЕГЭ (РБД ЕГЭ) персональных данных участника ЕГЭ, а также на ознакомление с такими персональными данными, за исключением случаев, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451).

Конституция РФ закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну (ст. 23). Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 24).

Следует особо подчеркнуть, что операторы и третьи лица, получающие доступ к персональным данным физического лица, в т.ч. его фамилию, имя и отчество, обязаны соблюдать установленное ст. 7 Закона о персональных данных требование конфиденциальности, за исключением случаев, когда персональные данные обезличены или являются общедоступными.

Уполномоченным органом по защите прав субъектов персональных данных, обеспечивающим контроль и надзор за соответствием обработки персональных данных, является Федеральная служба по надзору в сфере массовых коммуникаций (Роскомнадзор) в соответствии с п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009.

Государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных (операторы) обязаны до начала их обработки уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении (ст. ст. 3, 22 Закона о персональных данных).

В некоторых случаях операторы вправе осуществлять обработку персональных данных без уведомления территориальных управлений Роскомнадзора. Это относится к персональным данным: субъектов, которых связывают с оператором трудовые отношения; общедоступных персональных данных; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка и др. (ст. 22 Закона о персональных данных).

В числе полномочий Роскомнадзора Законом о персональных данных предусмотрено право на обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление их интересов в суде, на принятие мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона.

Анализ практики показывает, что в современных условиях деятельность уполномоченного органа по защите прав субъектов персональных данных не всегда осуществляется на должном уровне, что обусловливает необходимость повышенного внимания прокуроров к этой сфере правоотношений.

Так, Генеральная прокуратура РФ в рамках мониторинга размещаемой в российском сегменте информационно-телекоммуникационной сети Интернет информации выявила нарушения прав граждан на защиту и сохранность их персональных данных, неприкосновенность частной жизни.

Вопреки требованиям ст. 9 Закона о персональных данных, без согласия субъектов персональных данных на ряде Интернет-сайтов неограниченному кругу лиц предоставлялся доступ к персональным данным проживающих в г. Москве и Московской области граждан Российской Федерации, включающим фамилии, имена, отчества, даты рождения и адреса места жительства.

По поручению Генеральной прокуратуры Российской Федерации органами прокуратуры г. Москвы наиболее крупным 7-ми магистральным провайдерам, находящимся на территории г. Москвы, объявлены предостережения о недопустимости нарушения требований Закона о персональных данных. В предостережениях указано, что с момента объявления предостережения руководитель компании – магистрального провайдера считается уведомленным о наличии нарушений Закона о персональных данных и должен предпринять организационно-технические меры для защиты персональных данных пользователей российского сегмента сети Интернет и прекратить доступ к незаконно предоставляемой информации. Требования прокурора были выполнены незамедлительно.

В настоящее время еще не сформирована судебная практика по спорам, касающимся защиты и сохранности персональных данных физических лиц при их распространении в сети Интернет. Эта практика нарабатывается c участием органов прокуратуры. Так, по требованию Генеральной прокуратуры РФ, в связи с массовыми нарушениями прав граждан в сети Интернет, Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных в августе текущего года направил в суд иск о признании действий регистратора по обработке данных граждан Российской Федерации нарушающими права неопределенного круга лиц, являющихся субъектами персональных данных, о неприкосновенности частной жизни, с требованием об обязании регистратора уничтожить незаконно размещенные в сети Интернет персональные данные граждан.

При выявлении нарушений Закона о персональных данных в сети Интернет прокурору необходимо дать им надлежащую правовую оценку и принять исчерпывающие меры прокурорского реагирования.

Учитывая экстерриториальный характер сети Интернет, прежде всего, целесообразно объявить предостережения наиболее крупным магистральным провайдерам, предоставляющим услуги доступа к Интернету.

С момента объявления предостережения, магистральный провайдер считается уведомленным о наличии нарушений Закона о персональных данных на указанных в предостережении сайтах и может предпринять организационно-технические меры для блокирования доступа пользователей российского сегмента сети Интернет к незаконно предоставляемой информации.

Если после объявления предостережения магистральные провайдеры не приняли мер к блокированию сайтов-нарушителей, возможно внесение в адрес руководителей компаний – основных магистральных провайдеров представлений о недопустимости нарушения Закона о персональных данных.

Законодательство РФ предусматривает гражданскую, уголовную, административную и дисциплинарную ответственность за нарушение Закона о персональных данных.

Так, статьей 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), допускаемое физическими, должностными и юридическими лицами. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Уголовный кодекс РФ предусматривает ответственность за нарушение неприкосновенности частной жизни (ст. 137), а также за неправомерный доступ к компьютерной информации (ст. 272). Поэтому при выявлении в ходе соответствующих проверок признаков составов этих преступлений прокурор должен оперативно вынести постановление о передаче материалов в органы, уполномоченные на проведение проверки в соответствии со ст. 144, 145 УПК РФ.

Резюмируя сказанное, можно констатировать, что прокурор наделен широким спектром полномочий для профилактики и устранения нарушений требований законодательства Российской Федерации о персональных данных в целом и в российском сегменте сети Интернет, в частности: объявление предостережений, внесение представлений, опротестование незаконных нормативных актов в этой сфере, возбуждение дел об административных правонарушениях, обращение в суд с заявлением в защиту прав, свобод и законных интересов неопределенного круга лиц. При этом прокурорам субъектов Российской Федерации необходимо максимально использовать полномочия Роскомнадзора, уполномоченного органа в названной сфере, направляя ему соответствующую информацию о выявленных нарушениях закона через Генеральную прокуратуру Российской Федерации, либо напрямую – в территориальные управления Роскомнадзора.

В силу специфики Интернет-пространства и еще не сформировавшейся практики правоприменения это направление работы новое, однако прокурорам необходимо осуществлять постоянный мониторинг этой сферы правоотношений и реагировать на каждое нарушение законодательства о персональных данных в российском сегменте сети Интернет.

А.В. Паламарчук,
начальник Главного управления
по надзору за исполнением
федерального законодательства
Генеральной прокуратуры
Российской Федерации

Читайте также: