Что грозит банку за разглашение персональных данных гражданина

Обновлено: 02.07.2024

Работодатель, оформляя сотрудника на работу, запрашивает у него личные сведения. За их разглашение предусмотрено несколько видов ответственности: от выговора до ареста. Рассказываем, кто и в каком размере несет ответственность за утечку персональных данных работников.

К персданным относятся:

фамилия, имя, отчество;
пол;
возраст;
место жительства;
изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
образование, квалификация, профессиональная подготовка;
семейное положение, наличие детей, родственные связи;
факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т. д.);
деловые и иные личные качества;
медицинские сведения;
номер телефона;
прочие сведения, которые могут идентифицировать работника.

Информация о заработной плате работника тоже является его персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

То есть любой документ, который содержит какие-либо сведения о конкретном работнике, будет носителем его персональных данных.

Самый важный момент в работе с персональными данными — это их конфиденциальность (ст. 7 Закона № 152-ФЗ). Работодатель не вправе сообщать эту информацию третьей стороне без письменного согласия работника. Исключение — ситуации, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также другие случаи, предусмотренные ТК РФ или иными федеральными законами (абз. 2 ч. 1 ст. 88 ТК РФ).

Привлечь к ответственности за разглашение персональных данных можно далеко не каждого. Сначала нужно доказать следующее:

Разглашенные сведения относятся к персональным данным другого работника.
Эти сведения стали известны нарушителю в связи с исполнением им трудовых обязанностей.
Сотрудник обязывался не разглашать такую информацию (п. 43Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и даже уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Закона № 152-ФЗ).

Раз в три года Роскомнадзор проводит плановые проверки и отслеживает, как компании выполняют принцип конфиденциальности при работе с персональными данными. Если Роскомнадзор выявит нарушения, то после придет с внеплановой ревизией, чтобы выяснить, устранила ли их компания.

Разберем каждый вид ответственности.

Работника привлекут к ответственности, если сведения, которые он разгласил:

относятся к персональным данным другого работника;
стали известны работнику в связи с исполнением им трудовых обязанностей;
работник давал обязательство не разглашать сведения.

Eсли действия работника, который был ответственен за неразглашение персональных данных, нанесли вред другому работнику, то работодатель вправе привлечь виновного к материальной ответственности (п. 7 ч. 1 ст. 243 ТК РФ).

Статья 13.11 КоАП содержит семь составов правонарушений, за каждое из которых предусмотрен штраф. Максимальное наказание по ст. 13.11 КоАП РФ — 75 тыс. ₽. По этой статье можно оштрафовать компанию и даже наложить на нее несколько разных штрафов.

Работника, который допустил утечку информации, наказать можно, если он имел доступ к персональным данным на законном основании и был письменно предупрежден об их неразглашении.

Обработка персональных данных без письменного согласия работника влечет штраф (ч. 2 ст. 13.11 КоАП РФ):

— для должностных лиц — от 10 тыс. до 20 тыс. ₽;

— для юридических лиц — от 15 тыс. до 75 тыс. ₽.

С работником, допущенным к обработке персональных данных, подписывается обязательство об их неразглашении. У тех, кто работает с персональными данными: кадровики, бухгалтеры, секретари — условие о неразглашении включается в трудовой договор (ст. 57 ТК РФ).

При приеме на работу нового сотрудника нужно ознакомить с Положением о работе с персональными данными.

Уголовное наказание предусмотрено в том случае, если раскрыты о сотруднике:

сведения о частной жизни;
сведения о семейной или личной тайне.

Важно помнить, что наказать виновных можно в течение шести месяцев со дня совершения проступка.

Шаг 1. Потребовать от работника письменное объяснение (ч. 1 ст. 193 ТК РФ). Если через два рабочих дня объяснения нет, составить акт об этом (ч. 1 ст. 193 ТК РФ).

Можно сформировать комиссию для проведения внутреннего расследования и собрать все имеющиеся доказательства разглашения информации. Но если есть веские доказательства проступка, то можно обойтись и без комиссии.

Шаг 2. Издать приказ о применении дисциплинарного взыскания.

Шаг 3. Ознакомить с приказом сотрудника под подпись в течение трех рабочих дней со дня издания, не считая времени отсутствия сотрудника на работе (ч. 6 ст. 193 ТК РФ). Например, если сотрудник в отпуске, то с момента, когда он выйдет на работу, у работодателя будет три дня, чтобы ознакомить его с приказом. Если сотрудник отказывается подписывать приказ, нужно составить акт об этом (ч. 6 ст. 193 ТК РФ).

Чтобы избежать судебных споров, необходимо заранее принять все меры для неразглашения личной информации подчиненных:

Последний вариант реализовал на своем веб-ресурсе, в частности, СберБанк. Он предупреждает посетителей, что при работе с сайтом они автоматически дают банку согласие на обработку своих персональных данных. Конечно, перечень данных, к которым банк в этом случае получит доступ, будет ограниченным и обезличенным, но в дальнейшем они могут быть использованы для дополнения цифрового профиля пользователя.

Финансовые организации любят включать текст соглашения на обработку и использование персональных данных в другие документы, что не позволяет ограничить использование этих сведений: отказываясь делиться своими персональными данными, клиент фактически отказывается от услуги.

Обычно организации запрашивают у клиентов следующие сведения: пол, возраст, семейное положение, e-mail и т. п., но это лишь видимая часть айсберга, считает основатель DBX Digital Ecosystem Игорь Захаров. Помимо этих сведений, финансовые организации фиксируют и анализируют и другую информацию: время и длительность активности пользователей на сайте и в личном кабинете (оценивается системами CRM и сервисами веб-аналитики), операции по счетам, направления движения средств, назначения переводов и платежей и др.

Можно ли отозвать согласие на обработку персональных данных?

Кому и зачем банки передают наши персональные данные

Помимо этого, в рамках своих бизнес-процессов банки могут передавать личную информацию о клиентах другим организациям. Как правило, это бюро кредитных историй, страховые компании, операторы связи, коллекторские агентства и партнеры банка.

Причина, по которой личная информация так свободно передается организациям, не имеющим прямого отношения к банковской деятельности, — в размытости формулировок, которые кредитные организации зачастую используют в соглашениях о передаче и использовании персональных данных.

Что рекомендуют ЦБ и Роскомнадзор

В начале августа Центробанк и Роскомнадзор опубликовали совместное письмо, в котором рекомендовали финансовым организациям изменить подход к обработке персональных данных клиентов. Регуляторы считают, что банкам следует запрашивать у клиентов отдельное согласие в отношении каждого оператора, которому могут передаваться их персональные данные, включая биометрические. Помимо этого, в документах стоит указывать конкретную дату или период времени, в течение которых допускается обработка персональных данных, без возможности автоматической пролонгации этого срока. При этом обрабатывать данные, согласно закону, значит в том числе собирать, хранить и передавать их.

Роскомнадзор совместно с Банком России напоминает, что обработка персональных данных должна ограничиваться достижением заранее определенных целей, например исполнением обязательств по кредитному договору.

Помогут ли рекомендации ЦБ и Роскомнадзора избавиться от партнерского спама

Обязаны ли банки исполнять рекомендации ЦБ и Роскомнадзора

При этом эксперты считают, что исполнение содержащихся в информационном письме рекомендаций может существенно усложнить процесс оформления банковских договоров и сделать его громоздким как для клиента, так и для банка.

Кто должен отвечать за безопасность персональных данных

Согласно федеральному закону № 152-ФЗ, кредитная организация является оператором персональных данных и непосредственно несет перед клиентами ответственность за сохранность этих данных.

На вопрос Банки.ру о том, как и кому передаются персональные данные клиентов, СберБанк, МКБ, Россельхозбанк, Газпромбанк и УБРиР ответили, что обрабатывают эти данные в соответствии с положениями федерального закона № 152-ФЗ. Другие опрошенные нами банки воздержались от комментариев.

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Банковская тайна - юридический принцип в законодательстве РФ, в соответствии с которым финансовые учреждения должны защищать сведения о вкладах, счетах, банковских операциях, финансовом положении своих клиентов и иных сведениях, если это не противоречит законодательству.

Доступ к банковской тайне
Закон о банковской тайне
Защита банковской тайны
Нарушение банковской тайны
Ответственность за разглашение банковской тайны
Что является банковской тайной

Банковская тайна охраняется законодательством РФ. Режим банковской тайны не носит абсолютный характер, в определенных законом ситуациях, доступ к данным может быть предоставлен госорганам. Согласно ч. 3 ст. 55 Конституции РФ, отступления от банковской тайны допустимы только, если это необходимо в целях защиты основ конституционного строя, прав и законных интересов других лиц, обеспечения безопасности государства.

Доступ к банковской тайне

Режим банковской тайны предусматривает ограничение доступа к информации о счетах, финансовом состоянии и операциях клиента. Кроме владельца, такими сведениями располагает только банк и ограниченный круг сотрудников правоохранительных и контролирующих органов: бюро кредитных историй, судам, следственным, налоговым и таможенным органам, Счетной палате, АСВ, ПФР, Фонду социального страхования, ФССП, ФСФН, ФТС. Раскрытие информации выполняется в порядке и объеме, определенном законодательством. Для предоставления доступа к банковской тайне, необходимо решение суда, санкция прокурора, предписание и другие документы.

Закон о банковской тайне

Законы о банковской тайне действуют во многих странах мира: Швейцарии, Франции, Германии, Австрии, Люксембурге, США и других.

Порядок предоставления информации отдельным государственным органам регламентируется приказами и распоряжениями.

Защита банковской тайны

Правовая защита банковской тайны обеспечивается законодательством Российской Федерации. Гаранты соблюдения банковской тайны - финансовое учреждение, Банк России, агентство по страхованию вкладов.

Для защиты банковской тайны, финансовые учреждения должны:
- ограничивать круг лиц, имеющих доступ к информации, составляющей банковскую тайну;
- организовать отдельное делопроизводства с документами, содержащими банковскую тайну;
- использовать технические средства для предотвращения несанкционированного доступа к носителям информации;
- применять предупреждения о необходимости сохранения банковской тайны и ответственности за ее разглашение в договорах между банком и клиентом.

Нарушение банковской тайны

Нарушением банковской тайны считается умышленное или невольное разглашение информации, признанной конфиденциальной, должностным лицом финансового учреждения без согласия клиента. В случае, если такие действия нанесли физическому или юридическому лицу материальный или репутационный ущерб, законодательство предусматривает возможность обращения в суд для защиты своих интересов. Законодательство предусматривает различные виды ответственности за нарушение банковской тайны.

Ответственность за разглашение банковской тайны

За разглашение банковской тайны предусмотрены гражданская, административная и уголовная ответственности.

Банк можно привлечь к гражданской ответственности путем подачи руководству финансового учреждения требования о возмещении убытков, причиненных разглашением сведений, составляющих банковскую тайну.

Для привлечения кредитной организации к административной ответственности за разглашение банковской тайны, клиенту финансового учреждения необходимо подать заявление в полицию или прокуратуру.

За незаконное разглашение банковской тайны, повлекшее тяжкие последствия, предусмотрена уголовная ответственность согласно ч. 2, 3,4 ст. 183 УК РФ.

Что является банковской тайной

К банковской тайне относятся:
- данные о состоянии счетов клиентов;
- операции, проведенные по поручению клиента;
- финансовое положение клиентов;
- системы охраны банка и клиентов;
- информация о структуре юридического лица - клиента, о руководителях, видах деятельности;
- данные о коммерческой деятельности клиентов;
- сведения об отчетности по банку, за исключением подлежащей опубликованию;
- коды защиты информации, а также другие данные, перечень которых может устанавливать финансовое учреждение.

Совет от Сравни.ру: При открытии счета в банке, стоит внимательно ознакомиться с разделом договора, содержащим информацию о защите банковской тайны.

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

фамилия, имя, отчество;
дата рождения;
адрес места регистрации/места жительства;
сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
сведения о трудовом (страховом) стаже;
сведения о привлечении работника к материальной ответственности;
сведения о состоянии здоровья и результатах медицинского обследования работника;
любые иные сведения, позволяющие определить работника.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Работа с персональными данными

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:

в Фонд социального страхования РФ, Пенсионный фонд РФ;
в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
наличия у работодателя доверенности на представление интересов работника;
когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета. Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

АКЦИЯ ПРОДЛЕНА

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Рассказываем, что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных.

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

ФИО заявителя;
контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Читайте также: