Закон о персональных данных. Что нужно знать
Краткое содержание :
Юридическим лицам и ИП
Вне зависимости от размеров компании или оборотов, любому бизнесмену и индивидуальному предпринимателю необходимо знать федеральный закон 152-ФЗ. Ведь практически любой предприниматель рано или поздно получает доступ к персональным данным других людей. И тут главное знать правила обращения с этими персональными данными, чтобы не дай бог не нарушить правила, установленные Роскомнадзором.
В бизнесе, вне зависимости от его масштабов, всегда сталкиваешься с теми или иными персональными данными. Договор с контрагентом, обслуживание клиента, приём на работу сотрудника, приём денежных средств за выполненные работы или услуги – это все содержит те или иные персональные данные.
Предоставляющие персональные данные граждане хотят быть уверены, что эти данные не попадут в руки злоумышленников. И именно этому призван противостоять федеральный закон №152-ФЗ "О персональных данных".
Существует определённый перечень нормативных документов, регламентирующий процесс сбора, хранения, обработки и уничтожения персональных данных. Отсутствие такового может привести к достаточно крупному штрафу со стороны Роскомнадзора.
Гражданам
Знание своих прав в сфере обращения с персональными данными может быть весьма полезно в ряде случаев, когда наличествуют споры, доказательной базой в которых выступают персональные данные. Ярким примером является установка системы видеонаблюдения за действиями сотрудников и посетителей в организации.
По мнению Роскомнадзора, установка системы видеонаблюдения является существенным условием трудового договора (справедливости ради стоит отметить, что мнение судов иногда расходится с мнением по этому вопросу Роскомнадзора, пример – апелляционное определение по делу №33-8403/2013 от 15.10.2013 Алтайского краевого суда), и должна быть оформлена в соответствии с действующим законодательством.
Известны случаи, когда работодатель, предъявляя материальные или дисциплинарные претензии к сотруднику, либо увольняя его, использовал в качестве доказательной базы записи с камер видеонаблюдения, но суды восстанавливали сотрудника в правах, поскольку данные видеоматериалы были получены с нарушением действующего законодательства.
Роскомнадзор
Роскомнадзор является контролирующей организацией, призванной наблюдать за соблюдением действующего законодательства в процессе работы юридических лиц и ИП с информацией. Проверки Роскомнадзора инициируются как по заявлениям граждан о нарушениях в сфере использования персональных данных, так и по собственной инициативе Роскомнадзора.
Если в результате проведённой проверки выяснится, что отсутствует обязательный пакет нормативных документов в сфере работы с персональными данными, либо таковой пакет не полон, предпринимателя ждут штрафные санкции от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном, а организация может быть закрыта.
Персональные данные
Согласно действующим нормам, персональные данные – это любая информация, которая позволяет либо точно идентифицировать физическое лицо (субъекта персональных данных), либо предположить, что в данном случае речь идёт именно о конкретном человеке, а не о каком-либо абстрактном лице.
В ст. 3 федерального закона № 152-ФЗ сказано:
"В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".
К таковой информации относятся:
- Ф.И.О.,
- дата рождения и место рождения человека,
- место проживания, либо место регистрации гражданина,
- род занятий, образование, место работы,
- данные паспорта, СНИЛС, ИНН физического лица,
- семейное положение,
- социальное либо имущественное положение физического лица,
- номер телефона гражданина (дополнен Постановлением Правительства РФ от 13.09.019 № 1197),
- адрес электронной почты (дополнен Постановлением Правительства РФ от 13.09.019 № 1197).
Специальные данные
Понятие "специальные данные" раскрывается в ст. 10 федерального закона 152-ФЗ:
"1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии".
Биометрические данные
Это физиологические и биологические особенности человека, позволяющие идентифицировать его личность (сетчатка глаза, отпечатки пальцев, фото-, видеозаписи и т.д.). Они могут обрабатываются только с письменного согласия человека.
Существуют случаи, когда действующее законодательство позволяет обрабатывать биометрические данные без наличия письменного согласия. Это:
- при осуществлении правосудия и привлечении гражданина к ответственности;
- для обеспечения розыска, в том числе международного;
- для проведения дактилоскопии (опознания трупа);
- для обеспечения исполнения миграционного законодательства;
- при реализации антикоррупционных и антитеррористических мер;
- для принудительного исполнения решения или приговора суда.
Минцифры 25 июня 2018 года издало приказ № 321, в котором разрешало всем банковским организациям сбор биометрических данных клиентов. Как объяснили, это было введено для предотвращения кражи денежных средств с банковских счетов или взлома личных кабинетов граждан.
При этом необходимо знать, что без согласия клиента банк не имеет права собирать и обрабатывать биометрическую, а в случае, если таковое согласие имеется, оно может быть отозвано гражданином в любое время.
Персональные данные детей
Каких-либо особых требований к персональным данным детей федеральный закон №152-ФЗ не содержит. Защита их прав и законных интересов возложена на их родителей или законных представителей.
Тем не менее в законодательстве оговорены определённые требования, касающиеся распространения персональных данных ребёнка. Распространение и разглашение таковых персональных данных запрещено, в случае если ребёнок пострадал от противоправных действий.
Не являются персональными данными
Информация, не позволяющая точно идентифицировать человека, не относится к понятию "персональные данные". Это:
- ник (псевдоним);
- отретушированное фото, на котором нельзя различить лицо и инфе биометрические данные, позволяющие идентифицировать личность;
- изменённый программно голос;
- какие-либо истории, без указания конкретных данных, которые могли произойти с кем угодно.
ВАЖНО: персональные данные должны позволять однозначно идентифицировать личность. Например, Ф.И.О. не будут считаться персональными данными, если будет доказано, что граждан с такими Ф.И.О. несколько.
Сбор персональных данных
Основанием для действий по сбору персональных данных могут быть:
1. согласие субъекта на обработку персональных данных;
2. требования действующего законодательства РФ.
При этом, по сообщению Роскомнадзора, в результате проводимых проверок было установлено, что самой распространённой ошибкой предпринимателей является наличие ошибок в процессе сбора персональных данных. Чаще всего сотрудники Роскомнадзора, фиксировали следующие нарушения:
- отсутствие у предпринимателя согласий сотрудников на обработку персональных данных;
- заявленная цель обработки персональных данных и их объем не соответствуют друг другу;
- форма согласия на обработку персональных данных не соответствует требованиям федерального закона от 27 июля 2006 г. № 152-ФЗ.
Поэтому ещё до того, как организация начнёт собирать персональные данные, ей необходимо четко определиться с тем, какова будет цель их обработки. После этого, исходя из цели, определить объем и сроки обработки персональных данных. Для этого необходимо изучить приказ Росархива от 20 декабря 2019 г. № 236.
Если объем собираемых персональных данных будет соответствовать требованиям действующего законодательства, то чаще всего необходимости на получение дополнительных согласий не будет. Исключение в данном случае составляют передача персональных данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговорённые в нормативных актах.
В действующем законодательстве оговорены несколько форм согласий. Это конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). В действующем законодательстве определено, когда и какой вид согласия надо получать. Так, например, необходимо получение письменного согласия при обработке биометрической информации о физическом лице (пп. 1 п. 2 ст. 10 закона № 152-ФЗ), либо при обработке специальных категорий персональных данных (п. 1 ст. 11 закона № 152-ФЗ).
В принципе, каждая форма согласия имеет свои плюсы и свои минусы. Так, конклюдентное согласие, притом что его очень легко получить, в силу отсутствия необходимости подтверждений может быть расценено Роскомнадзором как нарушение требований законодательства. А в случае с письменным согласием, если форма такового разработана в строгом соответствии с действующим законодательством, регулятор не потребует дополнительных доказательств. Однако при этом разработанная согласия должна соответствовать требованиям ч. 4 ст. 9 закона № 152-ФЗ, а для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 закона № 152-ФЗ понятие "цель" указано в единственном числе.
Публикация персональных данных
На любую публикацию персональных данных субъекта необходимо получить его письменное согласие. Однако как это часто бывает, в данном случае, действующее законодательство предусматривает ряд исключений. Так, не требуется согласие субъекта на публикацию его персональных данных в случае:
- необходимости распространения общественно-значимой информации (необходимой для раскрытия угрозы государству, гражданину, окружающей среде);
- осуществления профессиональной деятельности журналиста;
- если персональные данные являются общедоступными, либо сам субъект сделал их таковыми;
- если публикация в соответствии с требованиями законодательства является обязательной (например, размеры доходов чиновников).
Необходимая документация
Для того чтобы сбор, обработка, хранение, уничтожение и передача третьим лицам персональной информации происходила в соответствии с действующим законодательством, оператору ПД (предпринимателю или организации работающим с персональными данными) необходимо подготовить соответствующий набор внутренних документов.
Как видите, список более чем внушительный. И это с учётом, что ряд комплектов документов здесь просто не детализирован. Отсутствие любого из них может служить основанием для Роскомнадзора в случае проведения проверки для наложения соответствующих штрафов.
Поэтому для подготовки полного комплекта лучше обратиться к грамотному юристу. Таким образом вы освободите себя от возможных проблем с регулятором. Ведь, как было сказано выше, проверку регулятор может провести по жалобе субъекта персональных данных или сотрудника компании. А недовольные могут найтись всегда. Причём не всегда недовольство субъекта будет обоснованным. Но чаще всего оно будет приводить к проверкам. И к этому надо быть готовым.
Удачи вам!
Приходилось ли вам сталкиваться с нарушением закона "О персональных данных"?
Проголосуйте, чтобы увидеть результаты
Если у вас возникли вопросы по теме данной публикации, вы всегда можете написать мне в мессенджеры или позвонить: