Если в результате несанкционированного доступа персональные данные были уничтожены оператор обязан

Обновлено: 02.07.2024

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Рассказываем, что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных.

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Отзыв согласия на обработку и распространение общедоступных персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):

• ФИО заявителя;
• контактную информацию заявителя (номер телефона, адрес электронной почты или почтовый адрес);
• перечень персональных данных, обработка которых подлежит прекращению.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.
Управляющая организация, ТСЖ, ЖК или ЖСК являются оператором персональных данных.
Любое действие, которое совершается с персональными данными, – это их обработка ( ч. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ ): сбор, хранение, накопление, систематизация, использование, передача и т.д.

• уведомлять Роскомнадзор о намерении обрабатывать персональные данные;
• соблюдать принципы обработки данных;
• обрабатывать данные, только когда это допускает закон;
• получать согласие на обработку данных;
• опубликовать политику в отношении обработки;
• предоставить доступ к персональным данным их владельцам;
• уточнять, блокировать или уничтожить данные по требованию владельца;
• обеспечить безопасность данных при обработке;
• обрабатывать данные на российских серверах;
• назначить ответственных лиц;
• уведомлять, что ведётся видеосъемка.

Оператор обязан разместить на своём сайте документ, который определяет политику организации в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных. Доступ к этим документам не должен быть ограничен ( ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ ).

УО должна получить согласие собственников в любой форме, которая позволяет подтвердить получение. Роскомнадзор рекомендует оформлять согласие письменно отдельным документом.

Возможно разместить пункты об обработке персональных данных в договоре управления и оказания коммунальных услуг.

Если УО привлекает представителя для осуществления расчётов с собственниками и нанимателями жилых помещений и взимания платы за жилое помещение и коммунальные услуги, согласие субъектов персональных данных на передачу данных таким представителям не требуется ( ч. 16 ст. 155 ЖК РФ ).

При этом необходимо закрепить в договоре между УО/РСО и представителем положения о конфиденциальности ПДн ( ч. 10 ст. 3, ч. 4 ст. 6, ч. 1 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ ).

Персональные данные, которые должны быть размещены в ГИС ЖКХ, попадают в закрытую часть системы, если иное не предусмотрено федеральным законом ( п. 12 Приказа Минстроя от 29.02.2016 № 74/114/пр ).

• ФИО представителя собственников помещений в МКД, подписавшего акт о приёмке выполненных работ (оказанных услуг) по капитальному ремонту ОИ в МКД (в случае подписания акта представителем собственников);
• ФИО лица, являющегося стороной договора о предоставлении в пользование части ОИ собственников помещений в МКД;
• протоколы общего собрания членов ТСЖ/ЖСК;
• сведения, позволяющие идентифицировать председателя, члена правления, члена ревизионной комиссии ТСЖ/ЖСК;
• адрес, номер контактного телефона и сведения, позволяющие идентифицировать члена ТСЖ/ЖСК;
• протоколы общего собрания собственников помещений в МКД;
• информация о лицевых счетах, присвоенных собственникам и пользователям помещений в МКД для внесения платы на ЖКУ;
• протоколы ЖСК;
• ФИО председателя и членов правления ЖСК;
• ФИО председателя и членов ревизионной комиссии ЖСК;
• ФИО, номер телефона и адрес электронной почты (при наличии) членов ЖСК;
• адрес помещения, в отношении которого внесена плата, а также ФИО потребителя (для физического лица, не являющегося ИП), ИНН (для ИП и для юридического лица) и период оплаты (при указании лицом, которым внесена плата, периода оплаты);
• ФИО, СНИЛС, документ удостоверяющий личность, адрес электронной почты, место постоянного проживания администратора ОССП в МКД;
• ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, сделавшего предложения по повестке дня ОССП в МКД;
• ФИО, СНИЛС, документ удостоверяющий личность собственника или представителя собственника, проголосовавшего на ОССП в МКД;
• ФИО, СНИЛС, номер контактного телефона, адрес электронной почты председателя и членов совета МКД;
• протокол ОССП в МКД об избрании совета МКД.

Уничтожение персональных данных

• в течение 7 дней с момента поступления информации от субъекта данных или его представителя о том, что данные были получены незаконно или данные не являются необходимыми для заявленных целей обработки ( ч. 1 ст. 14 и ч. 3 ст. 20 Федерального закона № 152-ФЗ );
• в течение 10 дней с момента, когда оператор сам обнаружил, что обрабатывает информацию неправомерно ( ч. 3 ст. 21 Федерального закона от27.07.2006 № 152-ФЗ);
• в течение 30 дней с момента достижения цели обработки персональных данных ( ч. 4 статьи 21 Федерального закона от27.07.2006 № 152-ФЗ);
• в течение 30 дней с момента отзыва согласия на обработку субъектом персональных данных.

Чтобы уничтожить данные, необходимо создать комиссию по уничтожению и утвердить акт об уничтожении персональных данных.

Меры по защите персональных данных

• установить тип угрозы,
• установить уровень защищенности,
• принять организационно-технические меры, которые предусмотрены для своего уровня защищенности.

При неавтоматизированной обработке также нужно соблюдать ряд требований ( ПП РФ от 15.09.2008 № 687 ).

• определить места хранения данных (материальных носителей);
• установить перечень лиц, которые обрабатывают данные либо имеют к ним доступ.

Хранить материальные носители необходимо с соблюдением условий, которые обеспечивают сохранность персональных данных и исключают несанкционированный к ним доступ.

УО сама может определить перечень мер, которые необходимы для обеспечения таких условий, порядок их принятия и перечень лиц, которые несут ответственность за реализацию указанных мер.

1. Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, в том числе идентификатор пользовательского оборудования (оконечного оборудования), сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.

Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами.

Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи.

Оператор связи вправе поручить в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обработку персональных данных абонента-гражданина третьим лицам.

В случае, если оператор связи поручает обработку персональных данных абонента-гражданина третьему лицу в целях заключения и (или) исполнения договора об оказании услуг связи, стороной которого является абонент-гражданин, и (или) в целях осуществления прав и законных интересов оператора связи или абонента-гражданина, согласие абонента-гражданина на это поручение, в том числе на передачу его персональных данных такому третьему лицу, обработку персональных данных таким третьим лицом в соответствии с поручением оператора связи, не требуется.

Не требуется согласие пользователя услугами связи абонента - юридического лица либо индивидуального предпринимателя на передачу таким абонентом его персональных данных оператору связи в соответствии с настоящим Федеральным законом.

2. В целях информационно-справочного обслуживания операторы связи вправе создавать общедоступные базы данных об абонентах. В эти базы данных могут включаться:

фамилия, имя, отчество, абонентские номера абонента-гражданина (с его письменного согласия);

наименование (фирменное наименование), абонентские номера, адрес установки оконечного оборудования, указанный в договоре об оказании услуг связи, абонента - юридического лица.

По требованию в письменной форме абонента сведения об абоненте незамедлительно должны уточняться оператором связи. Сведения об абоненте-гражданине должны быть исключены в любое время из общедоступной базы данных об абонентах по его требованию либо по решению суда или иных уполномоченных государственных органов Российской Федерации.

Комментарий к ст. 53 Закона о Связи

1. Комментируемая статья определяет правовой режим и состав сведений, обозначенных как "сведения об абонентах". Фактически данные сведения относятся к категории персональных данных, но поскольку комментируемый Закон вступил в силу на два года ранее, чем Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", то наименование данной категории сведений сохранилось.

Правовой режим сведений об абонентах должен формироваться на основе положений как минимум трех законов: комментируемого Закона; Федерального закона от 27 июля 2006 г. N 149-ФЗ; Федерального закона от 27 июля 2006 г. N 152-ФЗ. Исследователи данного вопроса (О.И. Трофимов, А.И. Горев), сопоставляя способы хранения информации в традиционной картотеке и ее электронном аналоге - компьютерной базе данных, отметили ряд особенностей, которые качественно меняют правоотношения субъекта данных и оператора базы данных. К их числу относятся:

- возможность интеграции и объединенного поиска во множестве баз данных при однозначно определенном объекте;

- неуничтожимость и "сверхтекучесть" баз данных;

- легкость и дешевизна пополнения электронных баз данных;

- высокая скорость поиска и фильтрации информации;

- возможность использования алгоритмов построения опосредованных связей и др.

Легкость пополнения баз данных при переходе на цифровые технологии связи, документооборота и учета определяется двойственностью функций, выполняемых современными системами связи и обработки информации . С одной стороны, они облегчают поиск нужного абонента; с другой стороны, они накапливают данные, накопление которых не всегда желательно или согласовано.

Трофимов О.И., Горев А.И. О правовой охране баз данных // Государство и право. 2008. N 6. С. 79 - 87.

Недооценка степени общественной опасности незаконного оборота абонентских баз данных обусловлена малой изученностью данного вопроса. Обмен данными происходил всегда, но только с появлением компьютерных сетей возникла возможность объединения созданных для различных целей информационных массивов, и человек оказался открыт в большей степени, чем это было прежде. И эта тенденция продолжает усиливаться.

Согласие абонента на обработку персональных данных трактуется однозначно. И обязанность оператора доказывать законность получения сведений не требует особых комментариев. Единственно, форма получения согласия должна иметь одинаковое, однозначное толкование как абонентом, так и оператором, а также третьим лицом, например судом при рассмотрении спора. Неоднозначным является положение комментируемой статьи о праве третьего лица обрабатывать персональные данные без получения согласия абонента. На фоне жестких требований к оператору нелогичным является положение о праве третьих лиц обрабатывать данные абонента без его согласия. Сохранность данных у третьего лица однозначно находится под сомнением. В таких условиях абонент должен понимать, что, подписывая согласие на обработку данных оператором, он фактически отдает их неограниченному кругу лиц. Исходя из такой парадигмы, абонент и должен решать вопрос о даче согласия на обработку данных.

Согласно ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ защита информации представляет собой принятие правовых, организационных и технических мер, направленных:

- на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

- соблюдение конфиденциальности информации ограниченного доступа;

- реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

- своевременное обнаружение фактов несанкционированного доступа к информации;

- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

- постоянный контроль за обеспечением уровня защищенности информации;

- нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Требования о защите информации, содержащейся в государственных информационных системах, установлены Приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных комментируемым Законом и другими федеральными законами, например:

- Федеральным законом от 7 февраля 2011 г. N 3-ФЗ "О полиции";

- Федеральным законом от 17 января 1992 г. N 2202-1 "О прокуратуре Российской Федерации", которым установлено, что органы прокуратуры в связи с осуществлением ими прокурорского надзора вправе получать в установленных случаях доступ к необходимой им для осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных;

- Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности";

- Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве", согласно которому судебные приставы вправе запрашивать необходимые сведения, в том числе персональные данные, у физических лиц, организаций и органов, получать от них объяснения, информацию, справки;

- Федеральным законом от 3 апреля 1995 г. N 40-ФЗ "О Федеральной службе безопасности";

- Федеральным законом от 27 мая 1996 г. N 57-ФЗ "О государственной охране" и др.

Обязанность предоставить доказательство получения согласия абонента-гражданина на предоставление сведений о нем третьим лицам возлагается на оператора связи.

Оператор связи вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. N 152-ФЗ. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

2. Норма п. 2 комментируемой статьи предусматривает право оператора создавать общедоступную базу данных. Вероятно, такая база будет создаваться в целях удобства пользования сетью связи другими абонентами.

Законодатель в рамках комментируемого Закона ничего не сообщает о полноте общедоступных данных абонента, о том, является ли перечень данных, представленный в статье (фамилия, имя, отчество, абонентские номера), исчерпывающим.

Положения Федерального закона от 27 июля 2006 г. N 152-ФЗ позволяют рассматривать в качестве общедоступных данных те из них, которые индивид сам представил в качестве общедоступных. Однако толкование в таком формате будет иметь расширительный характер. Вероятно, следует применять положения данной статьи только в ограничительном узком формате толкования, т.е. к общедоступным данным абонента следует относить только фамилию, имя, отчество, абонентские номера. Данный формат (правовой режим) отношений имеет место только в отношениях между оператором и абонентом-индивидом.

Отношения между оператором и абонентом-корпорацией (юридическим лицом) будут иметь иной правовой формат (режим). Деятельность юридического лица (корпорации) имеет преимущественно публичный характер. Основные сведения о наименовании абонента - юридического лица, фамилия, имя, отчество руководителя, а также адрес установки оконечного оборудования следует относить к категории общедоступных данных. В ходе регистрации корпорации (юридического лица) в органах государственной регистрации значительная часть перечисленных данных представляется лицами для регистрации и не может быть ограничена в обороте. Соответственно, общедоступность отдельных данных о юридическом лице (о руководителе и месте нахождения) обеспечивается не только нормами комментируемого Закона.

Комментируемая норма предусматривает наличие права требовать исключения из общедоступных баз данных сведений об абоненте-гражданине. Данное право является продолжением права субъекта персональных данных. Также предусмотрено наличие такого права у трех категорий субъектов: самого абонента, суда, иных уполномоченных органов Российской Федерации.

Ст. 88 ТК РФ устанавливает те ограничения, которых должен придерживаться работодатель в отношении операций с персональными данными о работнике. Рассмотрим возникающие по этой статье вопросы.

Ст. 88 ТК РФ: официальный текст

Что относится к персональным данным?

Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:

Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.

• трудовой книжкой;
• свидетельством ПФР;
• документами об обучении;
• документами воинского учета;
• дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.

Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).

Какие требования содержатся в ст. 88 ТК РФ?

Ст. 88 ТК РФ, констатируя необходимость передачи персональных данных третьим лицам, устанавливает правила, с соблюдением которых она должна осуществляться работодателем:

• такая передача возможна при наличии письменного согласия работника, если только ситуация не требует такой информации в связи с угрозой его жизни или здоровью или если иное не предусмотрено законодательно;
• запрещается сбор информации о состоянии здоровья работника, за исключением той, которая необходима для оценки пригодности работника к выполнению его должностных обязанностей;
• доступ к персональным сведениям о человеке может иметь ограниченное число сотрудников работодателя, при этом каждый из них должен использовать только те сведения, которые ему необходимы для работы;
• правила обмена информацией между подразделениями работодателя следует закрепить во внутреннем нормативном акте, ознакомив с ними всех работников под расписку;

• при всех процедурах, связанных с персональной информацией, должен соблюдаться режим максимальной конфиденциальности, независимо от того, на каком этапе это происходит: при сборе данных, передаче подразделениям работодателя или третьим лицам;
• представителям работников персональная информация предоставляется в минимально необходимом для обозначенных целей объеме;
• передав сведения третьему лицу, работодатель обязан предупредить его об ограниченном применении этих сведений (только в тех целях, для которых они переданы) и проконтролировать соблюдение этого условия.

ВНИМАНИЕ! Согласие на обработку сведений, разрешенных для распространения, нужно оформлять отдельно от других подобных документов.

Как и когда оформить согласие работника на работу с его данными?

Подавляющее большинство действий, осуществляемых работодателем с персональными сведениями о человеке, требует наличия письменного согласия работника (п. 1 ст. 9 закона РФ от 27.07.2006 № 152-ФЗ). Такое согласие обычно берут уже в момент оформления на работу, учитывая, что сбор персональных данных начинается непосредственно с момента трудоустройства. Оно считается добровольным и допускает возможность отзыва его работником.

Установленной формы у этого документа нет, но есть перечень обязательной информации, установленной Роскомнадзором в приказе от 24.02.2021 № 18 (действует с 01.09.2021). Согласие должно содержать следующую информацию:

Что нужно знать о биометрических персональных данных, см. здесь.

• категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
• условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;
• срок действия согласия.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к системе К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Когда работник является несовершеннолетним, соответствующее согласие оформляется лицом, имеющим право на законное представление его интересов (родителем, опекуном, усыновителем). Обязательная для этого документа информация при этом пополняется сведениями о законном представителе несовершеннолетнего (Ф.И.О., данные паспорта) и пояснениями о том, как эти 2 лица взаимосвязаны.

Подробнее об оформлении этих документов читайте в материалах:

Когда не требуется согласовывать с работником передачу данных о нем?

Существуют ситуации, когда персональные сведения о работнике передаются третьим лицам вне зависимости от того, есть его согласие на это или нет. Это делается по запросам:

На какие сведения медицинского характера запрет не распространяется?

Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:

Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.

Распространенные вопросы

Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:

• если данную информацию нельзя получить у самого работника;
• при наличии согласия работника.

Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.

Относятся ли сведения полиграфа к персональным данным?

• разъяснение о праве выбора гражданина дать согласие на экспертизу или отказаться от нее;
• перечень вопросов, по которым будет проводиться психофизиологическая экспертиза;
• разъяснение о праве гражданина в любой момент отказаться от экспертизы;
• обязательство работодателя использовать результаты экспертизы только для целей рассмотрения возможности приема кандидата на работу или соответствия работника занимаемой должности.

Информация, полученная в результате проверки на полиграфе, относится к персональным данным гражданина (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ).

Какие риски возможны при нарушении требований к обработке персональных данных работников организации?

1. административная ответственность:

• по ч. 1, 2 ст. 5.27 КоАП РФ - за несоблюдение требований к обработке персональных данных работников, которые установлены ТК РФ.
• по ст. 13.11 КоАП РФ - за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

2. уголовная ответственность:

• по ч. 2 ст. 137 УК РФ - если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Читайте также:

  
• Что может обеспечить энергосбережение
  
• В каком кодексе содержится понятие жилище а гражданском б жилищном в уголовном г семейном
  
• Россельхозбанк входит ли в систему страхования вкладов
  
• Кто осуществлял управление городом новгородом
  
• Что входит в обязанности электромонтажника