Юрист по персональным данным

Содержание страницы:

Юридические услуги в сфере персональных данных

Статьи по теме ПДн

Юристы фирмы оказывают широкий спектр услуг, связанный с законностью обработки персональных данных:

  • Консультации по защите персональных данных по российскому законодательству, по законодательству ЕС (GDPR).
  • Разработка документов по защите персональных данных.
  • Сопровождение проверок Роскомнадзора (уполномоченного органа по защите прав субъектов персональных данных).
  • Участие в качестве защитника по делам, связанным с нарушением законодательства в сфере персональных данных.
  • Подготовка ответов и возражений на запросы уполномоченного органа по защите персональных данных и субъектов персональных данных,
  • Проверка договоров, политик, регламентов и других документов на предмет соответствия законодательству в сфере защиты прав субъектов персональных данных.
  • Разрешение сложных ситуаций по правовым вопросам в сфере персональных данных.

Риск-ориентированный подход к подготовке документов по ПДн

Юридическая фирма предлагает риск-ориентированный подход к подготовке документации по персональным данным.

Достигается практический результат по защите от штрафов Росокмнадзора за счет правильного выстраивания процессов сбора ПДн, легального способа отказа от уведомления Роскомнадзора и минимизации документов. Подробнее о риск-ориентированной подходе к документированию ПДн.

Опыт специалиста в сфере защиты прав субъектов персональных данных, разбирающего Ваш вопрос, особо Важен.

Это связанно с тем, что применение положений законодательства о персональных данных во многом основано на судебной практике суда общей юрисдикции, арбитражного суда, разъяснениях и комментариях Роскомнадзора, отношении Роскомнадзора к тем или иным документам во время проведения проверок операторов персональных данных.

Решение вопросов по персональным данным не может решаться применением законодательств по аналогии из других областей права юристом или адвокатом широкого профиля. К сожалению, так бывает в связи с невозможностью таким юристом или адвокатом вникнуть в специфику юридического направления за короткий срок оказания услуги клиенту.

Юристы фирмы изнутри знают работу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), имеют собственную судебную практику по персональным данным, не раз разбирали спорные ситуации, устраняли нарушения по предписаниям Роскомнадзора, точно знают на что обратить внимание при подготовке правовых документов.

Персональные данные: как соблюсти порядок их обработки

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон – с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно – штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон – включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее – Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес;
  • семейное, социальное, имущественное положение;
  • образование, профессия, должность, доходы;
  • биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

  • сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
  • фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция – перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных — это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

  • только своих работников;
  • для целей заключения и исполнения договоров (например, персональные данные контрагентов);
  • для однократного пропуска лица на территорию компании;
  • без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека – см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет – составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца – субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных – например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие – например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент – субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение – она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку – его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах – например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать – например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

  • обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
  • получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
  • обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
  • обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных – с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер – определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании – до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

  • обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) – штраф от 30 тыс до 50 тыс рублей;
  • обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) – штраф от 15 до 70 тыс рублей;
  • неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) – штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

Юрист по персональным данным

Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.

Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

  • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
  • обработка персональных данных при отсутствии письменного согласия субъекта;
  • неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

1. Персональные данные — это любые сведения о физическом лице

На первый взгляд так и есть.
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»). Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:
«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции). Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений. Например, по поводу телефонного номера «инкогнито» есть прямые ответы региональных отделений Роскомнадзора:
«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».
Выводы

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.
«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)». Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3). Однако из данного правила есть исключение.
«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6). Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

Действительно, в ФЗ «О персональных данных» есть норма о публикации Политики конфиденциальности:
«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1). Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме
«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).
Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью
«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9) Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

Многие консультанты рекомендуют подать уведомление в Роскомнадзор для включения в реестр операторов персональных данных, ссылаясь на данную норму:
«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22). Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:
«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)
Выводы

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.

Юристы поддержали идею открыть Роскомнадзору доступ ко всем персональным данным

Минкомсвязи представило проект правительственного постановления о порядке госконтроля за обработкой персональных данных. Документом определяется механизм проведения проверок в отношении компаний и ИП, которые обрабатывают такие данные. Проверяющим органом будет Роскомнадзор, которому по сути предоставят доступ ко всем персональным данным россиян. Представители юридического сообщества по просьбе «Право.ru» прокомментировали готовящиеся изменения.

Согласно новым правилам, Роскомнадзору обеспечат доступ к информсистемам операторов персональных данных. Ведомство будет проверять, соответствуют ли способ обработки и сроки хранения этих данных заявленным целям. Таким образом, ему предоставят доступ к самим персональным данным, которые обрабатывает оператор. Действующий административный регламент (утвержден приказом Минкомсвязи в 2011 году) дает Роскомнадзору право лишь обследовать информсистему и получать доступ к серверам и программам, но не к самим данным. Помимо контроля за их обработкой служба будет наблюдать за оказанием услуг и продажей товаров, где «предметом являются персональные данные и деятельность по их обработке» (см. «У Роскомнадзора может появиться доступ ко всем персональным данным россиян»).

Юристы: инициатива не идет вразрез с законом о персональных данных

Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных, напоминает Анна Никитова, руководитель практики интеллектуального и информационного права юргруппы «Яковлев и Партнеры». Статьей 23 закона «О персональных данных» определены права и обязанности этого уполномоченного органа. «Логично, что в целях обеспечения надлежащей защиты прав субъектов персональных данных для контроля за соблюдением требований законодательства о персональных данных контролирующему органу необходимо обеспечить соответствующий уровень доступа к персональным данным, – подчеркивает эксперт. – Инициатива не идет вразрез с принципами и целями закона о персональных данных. Скорее, наоборот, является логичным откликом на повышенное внимание к вопросам правомерности обработки таких данных».

Без доступа к персональным данным невозможно осуществлять надлежащий контроль за соблюдением законодательства о персональных данных, согласен Павел Маруев, старший юрист корпоративной практики юрфирмы «Надмитов, Иванов и Партнеры». В особенности это относится к защите работников, обработка персональных данных которых осуществляется работодателем в силу закона, добавляет он. «В частности это касается контроля за соблюдением таких требований закона, как, например, давал ли работник свое согласие на обработку персональных данных, соответствие обработки заявленным целям, правомерность передачи персональных данных третьим лицам», – поясняет Маруев.

Важным вопросом в этом случае является организация доступа госоргана к персональным данным, продолжает эксперт. Кроме того, необходимо четко установить пределы такого доступа, например: доступ, не предусматривающий передачу на хранение и последующую обработку этих данных. «Немаловажную роль здесь имеет вопрос о согласии самого субъекта персональных данных, – подчеркивает Маруев. – Если он дал согласие на обработку оператору, в том числе на обработку специальной категории персональных данных (религия, политические взгляды, состояние здоровья, другая личная информация), то доступ к такой информации госоргана без согласия субъекта этих данных не всегда может быть оправдан».

Пример из практики

Используя паспортные данные гражданина, которые относятся к категории персональных данных, неизвестные лица оформили на него микрозаймы на сумму более 400 000 руб. в 15 различных микрофинансовых организациях (МФО), приводит пример из практики Елена Гладышева, управляющий партнер компании «РИ-консалтинг». Обратившись с жалобой в Роскомнадзор, субъект персональных данных получил ответ, что в связи с ограниченными полномочиями надзорного ведомства у него отсутствует доступ к информационным базам. Гражданину предложили обратиться напрямую к МФО и в суд. Спустя семь месяцев судебных разбирательств все микрозаймы признали недействительными. МФО в добровольном порядке уничтожили персональные данные в своих базах и внесли исправления в кредитную историю заявителя. «Возможно, при наличии более широких полномочий Роскомнадзор среагировал бы иначе и субъекту персональных данных не пришлось бы семь месяцев отстаивать свои интересы и нести расходы на представителя», – резюмирует Гладышева.

На текущий момент проект постановления правительства представляет собой расширенную версию приказа Минкомсвязи от 14 ноября 2011 года № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных», говорит Гладышева. «Возможно, в рамках предложенных расширенных функций будет обеспечена действительная защита интересов субъектов персональных данных, в отличие от защиты интересов операторов (юрлиц и ИП), в рамках которых возможны прецеденты так называемого «потребительского экстремизма» (злоупотребления субъектами персональных данных своими правами для обращения и инициирования проверок операторов персональных данных)», – добавляет эксперт. Вместе с тем, по ее мнению, проект постановления необходимо доработать в части ограничений контролирующих функций для защиты интересов операторов персональных данных, а также уравновешивания прав и интересов сторон.

Юрист по защите прав потребителей о том, как отозвать свои персональные данные

Почти ежедневно персональные наши персональные данные попадают в чьи-то руки, и в любой момент их могут начать использовать противозаконно. Паспортные, биометрические и иные сведения о человеке, могут представлять опасность, если ими завладеет злоумышленник. О том, как отозвать сведения и прекратить их распространение рассказывает юрист по защите прав потребителей нашего правового центра Михаил Ермаков

Наши персональные данные это мощное оружие и, попади оно не в те руки, проблем не избежать. Мы уже не обращаем внимания на то, что у нас просят паспорт и переписывают его данные при входе, например, на работу или в торговый центр. Никто в тот момент не думает, что сведения могут быть использованы в преступных целях. Не так давно в Москве обезвредили целую банду, которая зарабатывала на жизнь тем, что брала кредиты, завладев всего лишь данными паспорта жертвы. Словно в театре их роли были распределены: кто-то находил или покупал сведения, хранящиеся в документах, а их сообщники шли в банк, где оформляли, якобы, «на себя» кредит. Те, чьи данные использовали таким образом, узнавали о своей огромной задолженности от приставов или коллекторов.

«С развитием технологий появилась возможность собирать, накапливать и использовать любым способом персональную информацию, полученную из различных источников. Опасность для граждан в том, что после предоставления сведений, человек не может отследить, кому они могут быть переданы еще. И хотя для обработки персональных данных необходимо согласие их владельца, в определенных случаях этим пренебрегают, например, на государственном уровне», — поясняет юрист по защите прав потребителей нашего правового центра Михаил Ермаков.

Коммерческие и кредитные организации обычно просят согласия для обработки данных и, впоследствии, их можно отозвать, ссылаясь на часть вторую девятой статьи федерального закона № 152. Для этого необходимо письменное заявление, составленное в простой форме. Его следует написать в двух экземплярах и получить на втором отметку о принятии.
Однако есть случаи, когда даже при получении отзыва персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта. Они указаны в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего федерального закона. К ним относятся ситуации, когда согласие на обработку персональных данных не требуется, а также для целей связанных с государственными органами.

«Если вы уверены, что оператор продолжает использовать ваши данные, нарушая ваши права, необходимо обратиться в районный отдел Роскомнадзора. За нарушение требований законодательства предусмотрена как административная, так и уголовная ответственность», — резюмирует юрист по защите прав потребителей нашего правового центра Михаил Ермаков.

Защита персональных данных

корпоративный юрист

Читайте в №9, 2018

☆ Полезная подборка для юриста

С 1 июня ГК изменится

Вступят в силу новые положения ГК о расчетах и финансовых сделках – займе, кредите, факторинге. Читайте, как работать по новым правилам.

Реальная стоимость юридических услуг не имеет значения для суда

Обзор судебной практики за прошлую неделю.

Как теперь получить документы об изменениях в ЕГРЮЛ

Поменялись правила, по которым инспекторы регистрируют и ликвидируют компании, а также вносят изменения в ЕГРЮЛ. Листы записи, свидетельства ИНН и уставы теперь будут выдавать только в электронном виде.

Памятка для юриста

Если организация или предприниматель использует в бизнесе социальные сети или мессенджеры, юристу необходимо принять особые меры предосторожности. Три правила работы.

Скачать образцы документов

ВЫБОР ГЛАВРЕДА

Система Юрист

© 2007–2018 ООО «Актион кадры и право»

Журнал «Юрист компании» –
первый практический журнал для юриста

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».
Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Настоящий сайт не является средством массовой информации. В качестве печатного СМИ журнал «Юрист компании» зарегистрирован Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), свидетельство о регистрации ПИ № ФС77-62254 от 03.07.2015.

Это интересно:

  • Межрайонный отдел судебных приставов по исполнению особых производств это Межрайонный отдел судебных приставов по исполнению особых производств это В Нижегородской области в городе Арзамасе девочка покончила жизнь самоубийством из-за долгов. Здесь публикуются статьи из зарубежной практики налоговых […]
  • Как выбрать банк для юридического лица Как выбрать банк для обслуживания юридических лиц Чтобы выбрать банк для обслуживания юрлиц, нужно обратить внимание на три вещи: надежность банка, порядок обслуживания и тарифы. Рассказываем, как выбрать банк для компании. Как […]
  • Ст 1232 коап рф Статья 12.32 КоАП РФ. Допуск к управлению транспортным средством водителя, находящегося в состоянии опьянения либо не имеющего права управления транспортным средством (действующая редакция) Допуск к управлению транспортным […]
  • Как написать заявление на физкультуру Справка-освобождение от физкультуры: из поликлиники и от родителей. Сроки освобождения, диагнозы, образцы Физическая культура относится к основному предмету общеобразовательной школьной программы. Поэтому, по сути, полного […]
  • Расчет бюджета продаж Бюджетирование и контроль затрат в организации (2006) 2.1. Бюджет (план) продаж Любое планирование в условиях рынка начинается с прогноза продаж. Прогнозирование объема продаж является отправным моментом бюджетирования. Иногда […]
  • Заявления на алименты после 18 лет на обучение Исковое заявление об алиментах на совершеннолетнего ребенка Для получения алиментов после 18 лет требуется составить исковое заявление об алиментах на совершеннолетнего ребенка. Вопрос взыскания алиментов после достижения сыном […]
  • Список на земельный участок молодой семье Как бесплатно получить землю от государства молодой семье в 2018 году Когда молодая семья разрастается, квартира становится тесна, а перспектива взять непосильный кредит пугает, встаёт вопрос: что делать? Десятилетиями делить […]
  • Росправосудие решения по уголовным делам Как удалить информацию опубликованную на сайте росправосудие? Добрый вечер! Было решение суда и я не просил его публиковать в сети интернет. Оно появилось через год после самого решения. Я понимаю,что есть сайт и на нем можно […]