Персональные данные — это информация, позволяющая точно идентифицировать определённого человека. Любой, кто с ней взаимодействует — где-то публикует, добавляет в базу данных, передаёт в другой отдел — обязан обеспечить их защиту.
Что такое распространение персональных данных: главное
- Любой получивший чьи-то персональные сведения обязан следовать принципам добросовестного обращения с чужими личными данными. Даже когда они появляются в результате утечки.
- Основной порядок обработки личных сведений регламентируется Федеральным законом №152-ФЗ.
- Почти всегда на обработку данных необходимо официальное согласие человека.
- Бизнес обязан защищать не только личные данные сотрудников, но всех, от кого получает такую информацию, в том числе, клиентов и контрагентов. Если пренебрегать этими правилами, можно получить крупный штраф, а в худшем случае — лишение свободы и дисквалификацию.
Персональные данные и их распространение: что говорит закон
Базовые нормы обращения с персональными данными определены законом 152-ФЗ.
Статья 3 устанавливает основные понятия:
| Термин | Определение |
|---|---|
| Персональные данные (ПД) | Любые сведения, прямо или косвенно указывающие на конкретное физлицо: ФИО, номер телефона, адрес электронной почты, биометрия, образование, семейное положение, адрес и др. |
| Обработка персональных данных | Взаимодействие с ПД на любом этапе: сбор и хранение, систематизация, внесение в базы, передача, удаление и т.д. |
| Оператор ПД | Любое лицо, которое получает ПД от физлица и занимается их обработкой |
| Распространение ПД | Передача личной информации о человеке неограниченному кругу лиц, в том числе в открытых источниках |
| Предоставление ПД | Целенаправленная передача сведений о человеке конкретному лицу или конкретным лицам |
| Доступ к данным | Передача сведений внутри ограниченного круга лиц на законном основании (например, внутри компании по нормам локального акта) |
| Информационная система ПД | Система, которая обеспечивает хранение и обработку данных |
В обычной жизни персональные сведения попадают к третьим лицам повсеместно. Иногда это специальная передача, когда люди подписывают трудовые договоры с указанием своих данных или заключают соглашение на услуги мобильной связи. В других случаях данные утекают намеренно, например, из-за технических сбоев в системе или ошибок сотрудников, у которых есть доступ к информации. Закон регламентирует обращение с ПД на каждом этапе. Его цель — обеспечить сохранность частной жизни. И соблюдать установленные правила по умолчанию обязаны вообще все, к кому попадают чужие данные.
Несколько примеров распространения персональных данных:
- Компания создаёт корпоративный портал. В разделе «О сотрудниках» содержится информация о людях, которые работают в разных отделах: их имена, образование, опыт работы, фотографии.
- Представитель компании даёт небольшое интервью медиа, чтобы рассказать о целях бизнеса и новых предложениях для клиентов. Публикация его имени, должности и фотографии — это также распространение ПД.
- Публикация кейсов и отзывов с реальными именами и фамилиями клиентов.
Характер данных, которые будут обрабатываться оператором, определяет сам человек. В большинстве ситуаций на это требуется его официальное согласие.
Принципы обработки персональных данных
Из закона №152-ФЗ следует несколько принципов, которыми должен руководствоваться каждый оператор в работе с чужими данными.
Вот основные:
- Законные основания. Получать чужие данные, хранить и передавать их кому-то другому без особой причины нельзя. Должно быть основание — трудовой договор, согласие субъекта, договор оферты и т.д. Данные пользователей сайта или сервиса обрабатываются на основании Публичной оферты или Закона о защите прав потребителей.
- Цель. Намерения, с которыми будут пользоваться сведениями. Например, для кадрового или бухгалтерского учёта, обеспечения безопасности, обучения, взаимодействия с клиентами.
- Соответствие цели. Операторы собирают только те данные, которые необходимы для достижения цели. Например, для онлайн-заказов на сайте потребуется адрес и данные человека, который забирает заказ. Его ИНН, семейное положение и другие личные сведения требовать неправомерно.
- Ограниченность срока обработки целью. Любая работа с данными заканчивается, когда цель достигнута. Исключение — законные основания. Например, некоторые документы с данными должны храниться в архиве 5 лет для отчётности. Информацию необходимо удалить по истечению этого периода.
- Хранение данных по назначению. Нельзя перемешивать между собой информацию, которая хранится с разными целями.
- Актуальность. Если какие-то сведения обновляются, это должно отразиться в базе. Например, человек сменил адрес, а в дом заехали новые жильцы, которые продолжают получать старые рекламные материалы и предложения. Цель хранения данных теряется.
Кроме того, персональная информация собирается на определённых условиях, также регламентированных законом №152-ФЗ. Как мы уже заметили, важно обеспечить согласие человека. Если речь идёт о биометрических или специальных данных, нужно составить письменный документ. В остальных случаях допускается использование веб-формы. Например, когда пользователь ставит галочку рядом с пунктом о согласии на обработку ПД при установке приложения.
Подробнее об условиях сбора, хранения и распространения персональной информации — в статье 6 закона.
Правила распространения персональных данных
Подробно о распространении личных сведений говорится в статье 10.1 закона №152-ФЗ. Кроме необходимости получить согласие, важно учитывать следующие нюансы:
- Любой, к кому попадают личные данные третьих лиц, несёт ответственность за их законность и распространение.
- Если человек молчит или бездействует (например, не подтверждает согласие на обработку данных в веб-форме), это не означает, что он соглашается по умолчанию.
- Человек вправе потребовать прекратить обработку данных в любой момент. Тогда он направляет требование. Оператору необходимо утилизировать все данные в течение трёх рабочих дней.
Как составить согласие на обработку персональных данных
Работодателю необходимо запрашивать согласие на обработку и распространение сведений, которые не касаются выполнения трудовой функции и не запрашивались при составлении договора по ТК РФ. Это следует из разъяснений Роскомнадзора от 14.12.2012.
В остальном, из официального согласия должно чётко следовать, какие данные человек разрешает обрабатывать, и что с ними будет происходить. Поэтому в нём обязательно указываются следующие пункты:
| Пункт согласия | Что указывается |
|---|---|
| Сведения о человеке | ФИО, контактные данные |
| Сведения об операторе ПД | Название компании, адрес из госреестра, ИНН, ОГРН |
| Ресурс, на котором будет размещаться информация | Адрес сайта, на котором разместят информацию о человеке с доступом для других. Адрес должен включать протокол (http или https), сервер (www), домен, каталог на сервере и имя файла страницы |
| Цель сбора и обработки сведений | Непосредственно назначение информации, которую собирает оператор. Например, для размещения информации о команде на корпоративном сайте |
| Перечень данных | Полный список сведений о человеке с разбивкой на категории. Например:
|
| Перечень данных, которые запрещается распространять | Заполняется по желанию, так же с разбивкой на категории |
| Ограничения в передаче данных | Человек может установить, в каком порядке будут передаваться данные. Например, только по внутренним каналам связи компании |
| Срок действия соглашения | Согласие не может быть бессрочным. Нужно указать конкретный период, после которого согласие теряет силу. Например, пока человек является клиентом услуг связи |
В каких случаях согласие на обработку персональных данных не требуется
Закон ограничивает ситуации, в которых распространять данные можно без согласия. Обычно речь идёт о ситуациях, когда необходимо стороннее вмешательство, но человек не может предоставить информацию сам.
Например, разглашать чужие данные без предварительного согласия можно:
- по требованию государственных органов в рамках исполнения закона — налоговая может запрашивать информацию для проверки отчётности, полиция — для поиска преступника и т.д.;
- при участии субъекта ПД в судебных процессах — суды запрашивают информацию, необходимую для разбирательства в деле;
- для исполнения судебного производства — приставы могут требовать данные, чтобы взыскать с человека задолженность;
- для защиты жизни и здоровья человека — например, когда он сам не может ответить на вопросы медиков, потому что находится без сознания.
Детализация — в статье 6 закона №152-ФЗ.
Ответственность за утечку или незаконное распространение данных
Последствия утечки и недобросовестного использования личной информации установлены не только Законом о персональных данных, но и Трудовым кодексом. Статья 86 устанавливает, что работодатель обязан обеспечить защиту персональных сведений о сотрудниках:
- не передавать их третьим лицам без согласия человека;
- запрашивать только те сведения, которые нужны для исполнения договора;
- предупреждать других, что данные должны использоваться только в рамках целей, для которых их сообщали и т.д.
Статья 90 устанавливает, что лица, виновные в нарушении норм, регулирующих обработку персональных данных, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Человека, допустившего утечку данных, могут оштрафовать или уволить.
Однако пренебрежение защитой персональных данных влечёт также административную и уголовную ответственность. Статья 13.11 КоАП РФ предусматривает штрафы за разные ситуации, в которых нарушались права граждан. Например:
| Нарушение | Штраф |
|---|---|
| Незаконная обработка данных в случаях, не предусмотренных законом | 50-100 тыс руб. — для должностных лиц
150-300 тыс руб. — для организаций |
| Обработка данных без согласия субъекта в ситуациях, когда согласие было необходимо | 100 - 300 тыс руб. — для должностных лиц
300 - 700 тыс. руб. — для организаций |
| Повторная обработка данных без согласия | 300 - 500 тыс. руб. — для должностных лиц
1 - 1,5 млн руб. — для организаций |
Уголовная ответственность ещё строже. По статье 137 УК РФ, за незаконный сбор и распространение личной информации грозят штрафы до 200 тыс. рублей или лишение свободы на срок до года, а также дисквалификация до трёх лет. А статья 138 УК РФ предусматривает наказание за разглашение тайны личной переписки и телефонных разговоров — штраф до 80 тыс рублей, обязательные и исправительные работы.
Как обеспечить защиту персональных данных и не нарушить закон
Статья 19 закона №152-ФЗ обязывает операторов предусмотреть любые риски, угрожающие безопасности конфиденциальных сведений. Им необходимо определить возможные угрозы и методы, которые защитят информацию на всех уровнях, будь то бумажные документы или цифровые сведения. Все операции по обработке данных необходимо отслеживать и фиксировать, а систему безопасности — регулярно пересматривать и модернизировать.
Так, руководству необходимо составить конкретный план мероприятий по защите данных. Они во многом зависят от того, как реализуется хранение и обработка информации.
Отталкиваясь от практики, необходимо как минимум:
- ограничить круг лиц, которых руководство допускает к базе;
- выбрать сотрудника, ответственного за защиту персональной информации;
- расположить рабочие места так, чтобы трудно было «подсмотреть» личную информацию коллег;
- определить порядок сбора, хранения, категоризации и удаления информации;
- составить стандарты обращения с ПД и проинформировать персонал;
- интегрировать системы, которые помогают контролировать работу с данными и пресекать попытки взлома;
- составить локальные акты, регулирующие меры по защите данных.
Регламентированного перечня локальных документов нет. Так что бизнес вправе определить его сам. Если опираться на практику, работодатели часто используют следующие акты:
| Документ | Что устанавливает |
|---|---|
| Положение о персональных данных | Общий порядок обращения с личными данными |
| Список лиц с доступом к ПД | Перечень сотрудников, клиентов и других людей, у которых есть доступ к конкретным категориям сведений |
| Положение о мерах защиты ПД | Организационные, технические, правовые и другие методы для защиты конфиденциальности личных сведений. |
| План мероприятий по контролю уровня безопасности ПД | Порядок периодической оценки мер безопасности, история и результаты предыдущих проверок, инструкции для служебных расследований и аттестаций |
| Согласие на сбор, хранение и распространение данных | Шаблон соглашения с обязательными пунктами |
Перечень средств, которые используют для защиты, довольно широк и не ограничивается программными обеспечениями. Некоторые компании обустраивают переговорные звукоизоляционными материалами, используют антижучки, шумогенераторы. Но всё зависит от ресурсов и категории информации, которую хранят в организации.
Важно помнить, что защита должна распространяться не только на данные сотрудников, а любую личную информацию, с которой соприкасается бизнес. Это также касается клиентов, контрагентов и партнёров. Насколько позволяют ресурсы, на защите данных лучше не экономить — меры предосторожности обойдутся дешевле, чем штрафы.
Часто задаваемые вопросы
Основные правила, по которым операторы собирают, обрабатывают, передают и публикуют чужие персональные данные, прописаны в законе №152-ФЗ. Также положения о защите личной информации содержатся в других законных актах, например, том же Трудовом кодексе. Существующий порядок направлен на то, чтобы защитить частную жизнь человека, и предусматривает серьёзные штрафы за утечку или недобросовестное использование персональной информации. В худших случаях нарушителей отстраняют от должности на несколько лет или заводят уголовное дело.
Обращаться в контролирующие департаменты. Каждый вправе защищать свою личную жизнь и определять, как это делать. Можно пожаловаться в Роскомнадзор, чтобы тот инициировал проверку. Или подать иск в суд, потребовать запретить обработку данных, заблокировать доступ к сведениям и возместить моральный и материальный ущерб. Также можно написать заявление в прокуратуру, чтобы привлечь нарушителей к административной или уголовной ответственности.
Если вы не уверены, какой способ поможет добиться справедливости в вашем случае, обратитесь за консультацией к юристам соответствующей практики. Они дадут подробный алгоритм и помогут составить текст обращений.
