5 базовых принципов закона о персональных данных, о которых нужно знать
Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных». Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.
1. Закон распространяется на все организации — и коммерческие, и бюджетные
Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.
Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.
Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2. Компании могут использовать данные различных категорий субъектов
С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.
Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.
Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.
У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.
3. Обработке подлежат персональные данные, отвечающие целям их обработки
Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.
Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.
Проверьте, насколько ваша организация готова к проверке Роскомнадзора
4. Необходимо знать, какие именно данные нужно использовать
Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.
Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.
Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.
Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.
5. Необходимо понимать, когда требуется согласие на обработку данных
Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.
Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.
Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.
Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).
К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).
Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).
С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):
1. Правовые меры
Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.
2. Организационные меры
Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.
По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.
Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.
3. Технические меры
Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.
При обработке персональных данных организации следует:
Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.
Игорь Луканин, руководитель продукта «Контур.Персональные данные»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Распространять персональные данные граждан по-старому больше не получится
С 1 марта 2021 г. компании и ИП обязаны соблюдать новые правила сбора и размещения персональных данных в открытом доступе. Нововведения способны ощутимо усложнить жизнь предпринимателей
Договоримся о терминах
Персональные данные (ПД) – это любая информация о человеке: Ф.И.О., дата рождения, паспортные данные, адрес, e-mail и т.д.
Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.
Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.
Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.
ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.
Касаются ли изменения вашей компании?
Да, если соблюдено одно из указанных условий.
Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.
Нет, если соблюдено одно из указанных условий.
Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.
Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
Как регулировалось распространение ПД до 1 марта 2021 г.?
1. Законность распространения ПД подтверждалась несколькими способами.
Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.
Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.
Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.
Что изменилось в регулировании распространения ПД с 1 марта 2021 г.?
Введено новое понятие – ПД, разрешенные субъектом ПД к распространению.
Иными словами, оператор должен получить:
Законность распространения ПД и их сбора из открытых источников подтверждается исключительно наличием согласия на распространение.
Установлены требования к оформлению согласия на распространение ПД.
Форма согласия на распространение ПД, которую предлагает Роскомнадзор, на наш взгляд, перегружена лишней информацией. Например, оператор должен будет указывать в согласии свои коды по классификаторам (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Каким образом знание этих кодов может помочь лицу в спорах с оператором – непонятно.
2. В форме согласия на распространение ПД оператор обязан дать возможность лицу предусмотреть:
Чтобы соответствовать этим требованиям, операторам придется потратиться на создание на своих сайтах отдельных форм согласий, которые будут учитывать все возможные варианты запретов и ограничений.
При этом обыватели часто не знают, что такое ПД и какие у них есть права относительно обработки их ПД. Непонятно, как они самостоятельно смогут заполнить такое согласие и не допустить ошибок.
Информационная система Роскомнадзора должна заработать с 1 июля 2021 г. Пока она находится на стадии разработки, и о ней ничего не известно, а разъяснений со стороны Роскомнадзора нет. Поэтому комментировать данную норму еще рано.
4. Оператор обязан не позднее 3 рабочих дней с момента получения согласия на распространение ПД опубликовать информацию:
Согласно комментариям Роскомнадзора, озвученным на дне открытых дверей 28 января 2021 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.
Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?
Что делать оператору, если согласие на распространение ПД составлено некорректно?
Порядок прекращения распространения ПД.
Возникает вопрос: что делать оператору, если требование было получено на e-mail ночью или в выходной день? Формально он должен удалить ПД с сайта немедленно, поскольку согласие больше не действует. Такой порядок может привести к недобросовестному поведению со стороны граждан (субъектов ПД).
2. Субъект ПД вправе обратиться к любому лицу, обрабатывающему его ПД, т.е. не только к оператору, которому было дано согласие на распространение ПД, но и к другим лицам, которые стали обрабатывать ПД в последующем. Гражданин вправе требовать от таких лиц:
В случае такого обращения лицо, обрабатывающее ПД, обязано прекратить распространение, передачу ПД и доступ к ним:
Возникает вопрос: как оператор будет доказывать тот факт, что ПД были распространены субъектом самостоятельно? Здесь также есть шанс, что субъекты ПД будут злоупотреблять своими правами.
Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.
Что делать компаниям, которые собирают ПД из открытых источников?
До 1 марта 2021 г. действовала норма, согласно которой не требовалось получать согласие на обработку ПД лица, если ПД размещались в открытом доступе самим лицом или по его просьбе. Такие ПД назывались «персональными данными, сделанными общедоступными субъектом ПД». 22 Пример: компания собирает ПД о конкретном лице на странице социальной сети для его оценки как потенциального клиента банка.
С 1 марта 2021 г. компании больше не могут так делать: норма исключена из закона. Теперь они обязаны получить согласие лица на обработку ПД, даже если данные были взяты из открытых источников.
Ответственность оператора за распространение ПД без согласия субъекта
Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:
С 27 марта 2021 г. размер штрафов увеличивается:
Рекомендации предпринимателям
Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.
Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:
Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.
1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».
2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).
3 Часть 15 ст. 10.1 Закона.
4 Пункт 1 ч. 1 ст. 6 Закона.
5 Пункт 5 ч. 1 ст. 6 Закона.
6 Часть 3 ст. 20 Закона.
7 Часть 5 ст. 21 Закона.
8 Пункт 1.1 ч. 1 ст. 3 Закона.
9 Часть 1 ст. 10.1 Закона.
10 Часть 9 ст. 9 Закона.
11 Часть 1 ст. 10.1 Закона.
12 Часть 9 ст. 10.1 Закона.
13 Часть 6 ст. 10.1 Закона.
14 Часть 8 ст. 10.1 Закона.
15 Часть 10 ст. 10.1 Закона.
16 Часть 4 ст. 10.1 Закона.
17 Часть 5 ст. 10.1 Закона.
18 Часть 12 ст. 10.1 Закона.
19 Часть 13 ст. 10.1 Закона.
20 Часть 14 ст. 10.1 Закона.
21 Часть 2 ст. 10.1 Закона.
22 Пункт 10 ч. 1 ст. 6 Закона.
23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
Судебная практика и законодательство — 152-ФЗ О персональных данных. Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Согласно статье 3 названного Федерального закона персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» указано, что персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, информация о привлечении к административной ответственности физических лиц относится к персональным данным и может быть получена только с их согласия.
Отказывая в удовлетворении требований, суды руководствовались статьями 20.3, 126, 129 Федерального закона от 26.10.2002 N 127-ФЗ «О несостоятельности (банкротстве)», статьями 137, 155, 162 Жилищного кодекса Российской Федерации, статьями 2, 3, 6, 7, 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и исходили из недоказанности конкурсным управляющим права и наличия оснований для получения истребуемой информации, а также обязанности директора ответчика по удовлетворению такого требования в любом случае.
Однако при всей добросовестности лица, оспаривающего решение собрания, персональное уведомление каждого участника соответствующего гражданско-правового сообщества может оказаться невозможным, в том числе в силу предписаний статей 3 и 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», запрещающих раскрывать третьим лицам персональные данные без согласия субъекта персональных данных. Учитывая вероятные затруднения, Пленум Верховного Суда Российской Федерации в пункте 65 названного постановления разъяснил, что юридически значимое сообщение (уведомление) может осуществляться в иной форме, соответствующей характеру сообщения и отношений, информация о которых содержится в таком сообщении, когда можно достоверно установить, от кого исходило сообщение и кому оно адресовано (например, в форме размещения на сайте хозяйственного общества в сети «Интернет» информации для участников этого общества, в форме размещения на специальном стенде информации об общем собрании собственников помещений в многоквартирном доме и т.п.).
На основании статьи 3, пункта 1 части 1 статьи 6 Федерального закона N 152-ФЗ, пункта 1 статьи 102 НК РФ, статьи 28 Основ о нотариате суд пришел к правильному выводу о том, что утвержденная Приказом Форма N 5-2 не противоречит этим нормам действующего законодательства, так как отражающиеся в ней общие сведения о доходах нотариусов при осуществлении нотариальной деятельности по субъекту Российской Федерации не могут быть отнесены к персональным данным и не являются сведениями, составляющими налоговую тайну. Как правильно указано в решении суда, такие сведения предоставляются государственным нотариальными конторами и нотариальными палатами субъектов Российской Федерации в территориальные органы Минюста России по субъектам Российской Федерации, которые обеспечивают их представление в Минюст России. При этом персонифицированные сведения о доходах нотариуса ни в Минюст России, ни в его территориальные органы не поступают.
Однако при всей добросовестности лица, оспаривающего решение собрания, персональное уведомление каждого участника соответствующего гражданско-правового сообщества может оказаться невозможным, в том числе в силу предписаний статей 3 и 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», запрещающих раскрывать третьим лицам персональные данные без согласия субъекта персональных данных. Учитывая вероятные затруднения, Пленум Верховного Суда Российской Федерации в пункте 65 названного постановления разъяснил, что юридически значимое сообщение (уведомление) может осуществляться в иной форме, соответствующей характеру сообщения и отношений, информация о которых содержится в таком сообщении, когда можно достоверно установить, от кого исходило сообщение и кому оно адресовано (например, в форме размещения на сайте хозяйственного общества в сети «Интернет» информации для участников этого общества, в форме размещения на специальном стенде информации об общем собрании собственников помещений в многоквартирном доме и т.п.).
Указанные понятия использованы в соответствии со статьей 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
В соответствии с Федеральным законом от 27 июля 2006 года «О персональных данных» [1] к общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Статья 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. В настоящем Положении в соответствии со статьей 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» используются следующие основные понятия»:
2. В Положении в соответствии со статьей 3 Федерального закона N 152-ФЗ используются следующие основные понятия:
