Как доказать разглашение персональных данных

Обновлено: 28.06.2024

Ответы юристов по вопросам разглашения и распространения персональной информации

Разглашение персональных данных рассматривать следует как распространение любой информации, относящейся прямо или косвенно к определённому физическому лицу среди широкого круга персон. Персональными данными считаются сведения, имеющие непосредственное отношение к личности: ФИО, дата и место рождения, адресные данные, информация о профессии, образовании, семейном положении и прочее.

Мне поступило уведомление от М.Б.А. "ООО Финанс" о переуступке им права требования моей задолженности перед ПАО "Ростелеком" за пользование городским телефоном (долг с 220 рублей возрос до 972 рублей перед Ростелекомом, а затем до 1500 перед МБА, хотя я этой услугой не пользовался) . В договоре заключённом мною с ПАО "Телеком" в 2005 году нигде не указывается на разрешение мною использовать мои персональные данные , даже более того , в графе "на использование данных для информационно-справочного обслуживания и оказания справочных и других информационных услуг, в т.ч. третьим лицам" стоит слово "НЕТ". Прошу Вас ответить мне - законна ли такая передача моих персональных данных третьему лицу и правомерно ли возрастание долга перед ПАО Ростелеком и оплата "услуг" коллекторского агенства МБА в 700 рублей ? При этом , за весь период от неуплаты абонентской платы в сентябре 2016 года мне поступило только одно уведомление в декабре 2016 об имеющейся у меня задолженности в 220 рублей, что подтвердили сами ПАО Телеком в электронной переписке ?

Узнал, что председатель СНТ знаком с сотрудницей администрации поселка. Теперь опасаюсь, что он может у неё получить мои персональные данные (адрес регистрации и паспортные данные), которые я ей сообщал для обработки нужного мне земельного вопроса. Как быть в случае если она ему сообщит мои данные?

Сегодня я пожаловалась по телефону в полицию на маму двух детей, которая целый день держит их на жаре и не обеспечивает условия, указав все свои данные! Полиция рассказала ей, кто составил жалобу! Имели ли они на это право?

Здравствуйте, дело в том что учебное заведение не однократно разглашает мои персональные данные третьему лицу, что мне нужно делать?

Здравствуйте! Такая ситуация. Позвонили взыскатели долгов на номер телефона, который я никогда не оставляла в качестве контактного и который не известен никому из моего окружения. В этом банке вообще указан номер другого сотового оператора, которым я пользовалась на тот момент, т.е. о смене мною оператора они знать не могли. Вывод один, они получили мой номер через моего нынешнего мобильного оператора, то ли они так свои базы данных охраняют, что информацию об абонентах у них может самостоятельно получить кто угодно, то ли они (В данном случае МТС) сами предоставили мои данные третьему лицу без моего согласия. В связи с этим хочу подать жалобу на сотового оператора за разглашение персональных данных, как это можно сделать? Еще такой нюанс, на номер телефона, о котором идет речь, не был подписан отдельный договор, получила эту сим-карту в качестве бонуса за оформление основной карты.

Доброе утро. Вопрос касаемо разглашения персональных данных. Я по работе знаю данные человека. Пусть Иванов. Ко мне подходит другой, спрашивает. Слушай а у Васи Фамилия Иванов? Я говорю "да", а Иванов или Ивонов? Я отвечаю "Ива". Это считается разглашением персональных данных?

Вопрос про разглашение персональных данных. Ко мне домой приехал человек которого я не хотел бы видеть, потому сам никакие ему данные о своем местоположении намеренно не давал. Но он выяснил где я живу через работу, где мы когда то вместе работали, там сообщили мое место прописки, он приехал и нашел. Вопрос в следущем, насколько это нормально, было ли у того человека который работает там сейчас право раскрывать личные данные бывших сотрудников. Потому что я думал что я даю лишь согласие на проверку данных, но никак не на предоставление этих данных лицам компании, и тем более так же бывшему сотруднику компании. Заранее спасибо за внимание к моему вопросу.

Добрый день. Я подала иск в районный суд на работодателя по невыплате премии, приложением к иску расчетные таблицы в формате exsel столбцы и строки не имеют названия, по всему материалу содержит только цифры и буквы. Работодатель запросил у меня объяснительную за разглашение персональных данных клиента(персональных данных нет) клиента идентифицировать не возможно, и за разглашение банковской тайны.если данные даже в таком виде предоставлены в суд, может ли являться это разглашением? Спасибо

Я живу в маленьком городке, где все друг друга знают, всего 2 года. Недавно со мной произошел несча тный случай: мой знакомый был в нетрезвом виде за рулем автомобиля, который принадлежит мне на правах собственника вод.удост. я не имею; нас остановил сотрудник Гибдд , сомтавил соответствующие документы, был суд. Меня , как хозяйку авто. признали виновной, наложили штраф. Я со всем этим была согласна. Штраф оплатила. Но никому из близких родственников об этом не рассказывала во избежании скандалов и маме 75 лет. Но на днях один из сотрудников рассказал о моих проблемах моей сестре, которую знает давно, тем самым спровоцировал скандал в семье. Могу ли я наказать данного гос.служащего за разглашение персональных данных и как ? Прошу ответ на вопрос отравить на эл. адрес.

Инспектор отдела кадров допустила разглашение персональных данных другого работника. За это была уволена. Дайте правовую оценку

Здравствуйте, родственник набрал займов, и в договорах указал дополнительно мой номер плюс мои ФИО, возможно и прописку, о чем собственно в известность меня не поставил. От уплаты укрывается, мне звонят коллекторы. Могу ли подать на него заявление за разглашение персональных данных? Если да, то куда ? И могу ли попросить внести в какую-либо базу что бы ему отказывали даже в займах ? Спасибо.

Добрый день. Работаю на крупном предприятии 45тыс.чел. С пропускным режимом. Руководство установило на рабочем месте, в открытом доступе стенд на котором размещена фотография работника и его ФИО. То есть любой мимо идущий человек, работник организации, либо сторонней компании не имеющий ко мне никакого отношения может проходя лицезреть моё фото с моими же данными. Вопрос- на сколько это правомерно. Спасибо.

Здравствуйте. Я болею сахарным диабетом, и не хотела бы разглашать эту информацию. Но медсестра в кабинете, где я выписывала инсулин рассказала о моём диагнозе нашему общему знакомому. А дочь, которая работает в регистратуре, без моего ведома вычитала всё о моём диагнозе из карточки. Могу ли я привлечь их к ответственности. Куда и с чем мне обратиться? Знакомый не хочет свидетельствовать против них. Как наказать обидчиков? Спасибо)

Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне

Драться – плохо. Но если дерешься – побеждай!

Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:

И так с десяток звонков ежедневно, включая выходные.

Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:

Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.

Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.

Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.

Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?

Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.

В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.

Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы 1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.

Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.

Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:

Как происходит утечка персональных данных?

В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.

Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.

Какими могут быть последствия утечки данных?

Что делать, если в распространении личной информации виноват банк?

Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.

подтверждение факта обработки персональных данных оператором;
правовые основания обработки данных;
цели и применяемые оператором способы обработки данных;
наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
обрабатываемые персональные данные и источник их получения;
сроки обработки данных, в том числе сроки их хранения;
информация об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.

Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.

Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.

1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).

Наши персональные данные, которые мы размещаем в социальных сетях и на различных платформах - это не просто ФИО, фото и сведения об образовании. Искусственный интеллект при анализе размещенной нами информации может делать удивительно точные выводы о нас, это может быть безобидное - какой вы психотип, или более существенные - где человек живет, работает, его благосостояние и пр.

Можно ли свободно брать наши персональные данные из открытых источников, анализировать и делать выводы, формировать базы данных или пополнять уже сформированные недостающими данными?

Обратимся к двум законам и двум решениям суда (если у вас есть еще - напишите пожалуйста в комментариях).

Статья 8

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Статья 22
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
4) сделанных субъектом персональных данных общедоступными;

Статья 7. Общедоступная информация
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
4. Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Лица, обрабатывающие данные в открытых источниках апеллируют к вышеуказанным нормам подтверждая и гарантируя законность своих действий. Однако, Суд и РКН не согласился с их позицией.

Постановление Арбитражного Суда Московского округа от 9 ноября 2017 г. по делу N А40-5250/2017

Суды указали, что не являются общедоступными обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру).

Размещение персональных данных в указанных открытых источниках, исходя из положений Закона о персональных данных не делает их автоматически общедоступными.

Доводы заявителя о том, что согласие пользователей на обработку персональных данных не требуется, обоснованно отклонены судами.

Судами сделан обоснованный вывод о том, что персональные данные, обрабатываемые в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем, в действиях заявителя усматриваются нарушения части 3 статьи 22 и пункта 1 части 1 статьи 6 Закона о персональных данных.

Такой же вывод, мы можем проследить в Апелляционном определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016.

Если кратко резюмировать, то :

социальные сети - не общедоступные источники персональных данных;
наши персональные данные в социальных сетях - не сделаны нами общедоступными путем размещения в социальной сети;
для того, чтобы обрабатывать наши ПД из социальных сетей, в том числе использовать для пополнения готовых баз данных, необходимо получать прямое согласие на такую обработку.

Что интересно, сами сервисы РКН к ответственности не привлекает. Возможно, их законность можно оправдать п. 3 - 5 ст. 6 ФЗ 152: если Оператор, получивший согласие на обработку ПД субъекта в социальных сетях, поручит эту обработку сервису - то такая обработка будет вполне законной. Ведь, пока нет поручения и вводных данных от Оператора (пр. ФИО или телефон), сервис обработкой данных пользователей не занимается.

О незаконности функционала сервиса (который был использован заявителем в приведенном выше Постановлении) поднимало вопрос МВД и одна из социальных сетей, данные из которой агрегирует сервис. Причем в последнем случае заявлялись нарушения в сфере интеллектуальной собственности (смежные права на базу данных) и судебная тяжба продолжается до сих пор.

Продавец выложил в социальных сетях имена, телефоны и историю заказов клиентов, потому что я его уволила. Еще грозится опубликовать на Пикабу, вряд ли клиенты обрадуются, что теперь весь интернет знает об их покупках с именами и телефонами. Что мне делать?

Карина, с юридической точки зрения платить клиентам сразу после утечки не нужно — только по решению суда. С точки зрения пиара можно заплатить и сразу. А вообще у вас есть несколько вариантов: ничего не говорить клиентам и ждать — может, они сами узнают, а может, нет; рассказать и предложить компенсацию до суда; решать всё через суд и с клиентами, и с бывшим сотрудником. Это если кратко, а в статье — с подробностями.

Шаг 1. Предупредить сотрудника о штрафах за публикацию персональных данных

В вашей ситуации есть плюс: вы знаете, кто виноват. Поэтому сначала нужно попросить бывшего сотрудника удалить персональные данные клиентов. Чтобы просьба была весомей, расскажите о штрафах за утечку персональных данных. За распространение персональных данных могут оштрафовать на 1000, а могут и на 300 000 рублей:

Такой-то такой-то незаконным образом распространил персональные данные клиентов без их согласия. Прошу принять меры по удалению данных из сети Интернет, а именно со страницы такого-то в социальной сети Вконтакте.

Перед заявлением в полицию или Роскомнадзор нужно проверить, что у вас есть:

Подписанный продавцом договор о неразглашении, НДА.
Локальные акты, в которых перечислены категории персональных данных клиентов, доступные для сотрудника на должности продавца.
Подпись продавца, которой он подтверждает, что ознакомился с локальными актами.

Без документов есть риск штрафа для магазина от Роскомнадзора. Поэтому, если документов нет, лучше договариваться мирно с продавцом или просить удалить данные администрацию сайта, на котором продавец их опубликовал.

Для магазина тоже есть штрафы за утечку персональных данных:

для ИП — 10 000—20 000 рублей;
для ООО — 25 000—50 000 рублей.

Кроме штрафов у магазина может возникнуть еще две проблемы: клиенты потребуют компенсации морального вреда и убытков или пожалуются в Роскомнадзор, прокуратуру, и те придут с проверками.

Для защиты от утечек стоит ужесточить политику защиты персональных данных, например подписать со всеми сотрудниками договор о неразглашении, НДА. О том, что делать, если НДА был, а сотрудник его нарушил, мы подробнее писали в другой статье.

Как защититься с НДА

Если бы сотрудник еще работал в магазине, вы могли бы его уволить за однократное грубое нарушение трудовых обязанностей, а именно разглашение персональных данных клиентов.

В суд обратилась бывшая сотрудница банка с требованием восстановить ее в должности и выплатить зарплату за месяцы незаконного увольнения. Ее уволили за то, что анкеты с персональными данными клиентов оказались в мусорке возле отделения банка. А это разглашение банковской тайны и конфиденциальных данных клиентов.

Бывшая сотрудница считала, что ее уволили незаконно, потому что она анкеты клиентов не выбрасывала. Но суд решил, что именно она как руководитель отдела должна была проследить, чтобы анкеты уничтожили правильно — измельчили в шредере, как требует инструкция банка. Раз сотрудница нарушила трудовые обязанности, ее увольнение законно.

Шаг 2. Решить, стоит ли говорить клиентам об утечке данных

С клиентами, данные которых бывший сотрудник опубликовал, есть два варианта:

связаться и объяснить, что произошло. Кто-то предлагает в таких случаях компенсацию: скидку, подарок, карту золотого клиента. Но может получиться, что клиенты узнают об утечке данных от вас и пойдут в суд, Роскомнадзор или прокуратуру, а без вашего звонка не узнали бы;
ждать, пока клиенты узнают об утечке данных сами, и придут разбираться. Есть шанс, что клиенты не заметят.

Какой вариант выбрать, решать вам. Всё зависит от масштаба утечки, клиентов и информации, которую опубликовал бывший сотрудник.

Об утечках в крупных компаниях клиенты узнают через СМИ. К примеру, в октябре этого года была опубликована база абонентов Билайна, но компания не связывалась с клиентами, а общалась только со СМИ, хотя могла разослать смс или пуш-уведомления.

Еще один пример — Сбербанк, который в таких случаях тоже общается через СМИ и пишет что-то вроде: да, была утечка, мы виноваты, проблему исправили, лазейку закрыли, установили новые программы, а всех сотрудников наказали.

Компенсацию морального вреда за утечку клиент может получить от компании только через суд. На практике суды назначают небольшие компенсации по 5000—15 000 рублей. Максимум до 25 000 рублей, если компания опубликовала информацию об анализах, болезнях или пластических операциях клиентов.

Судебных дел по утечке персональных данных почти нет. А в тех, что есть, люди судятся в основном со СМИ из-за разглашения тайны усыновления, публикации фотографий с любовницами и списков недвижимости, а не из-за истории заказов из магазина.

Шаг 3. Переложить ответственность за утечку на бывшего сотрудника

Ответственность за утечку лежит на бывшем сотруднике — именно он выложил данные от своего имени. Чтобы он отвечал за это, на него можно подать регрессный иск — это такой иск, который перенаправляет претензии клиентов на настоящего виновника.

Дорогой Василий! Ты слил персональные данные наших клиентов в интернет, это нанесло непоправимый вред репутации нашей компании. Мы требуем с тебя компенсацию — 300 рублей.

Если бывший сотрудник решит не платить по претензии, а клиенты пойдут в суд, нужно подать на него иск за незаконное распространение персональных данных. В иске пишем:

Сотрудник возмещает ущерб — статья 238 трудового кодекса

В иске ссылаемся на трудовой договор с продавцом и статью 238 трудового кодекса. По этой статье сотрудник возмещает работодателю прямой действительный ущерб, а именно затраты магазина на возмещение ущерба клиента, который причинил продавец. Но ничего взыскать не получится, если сотрудник работал без договора.

Материальная ответственность сотрудников

Раздел для тех, кто хочет получить деньги через Фонд компенсации утечки персональных данных

Если пользователь оплачивает сертификат, мошенники зарабатывают 10 $, а переводить кому-то компенсации за утечку персональных данных они и не планировали.

Читайте также: