Обработка персональных данных третьих лиц

Что значит обработка персональных данных

Что значит обработка персональных данных, важно понимать гражданам и организациям, которые собирают и используют любую личную информацию о людях (Ф.И.О., электронная почта, адрес проживания, телефон), так как за нарушения в этой области могут налагаться административные штрафы. Что закон подразумевает под обработкой персональной информации и что нужно учесть, чтобы вас не привлекли к ответственности, рассказываем далее.

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, электронная почта, ссылка на профиль в социальной сети и т. д.

Ознакомиться с экспертным определением понятия персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

С 1 сентября 2022 г. вступают в силу новые требования законодательства к обработке персональных данных. Подробнее — здесь.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 152-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Эксперты «КонсультантПлюс» рассказали об особенностях обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 ст. 22 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ч. 3 ст. 22закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Узнайте больше из специальной публикации, размещенной в системе «КонсультантПлюс», о порядке уведомления Роскомнадзора об обработке персональных данных. Получите пробный доступ к материалу бесплатно.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Соблюдение указанных мер проверяет Роскомнадзор в рамках контрольно-надзорных мероприятий. Узнайте больше об особенностях их проведения ведомством.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Подробнее о процедуре отзыва человеком согласия на обработку персональных данных читайте в специальной публикации.

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 2–6 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 60–100 тыс. руб. для организаций

Ч. 1.1 ст. 13.11 КоАП РФ

Повторное совершение нарушения по ч. 1

Штраф 4–12 тыс. руб. для граждан, 20–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 100–300 тыс. руб. для юрлиц

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 6–10 тыс. руб. для граждан, 20–40 тыс. руб. для должностных лиц, 30– 150 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 2– 4 тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций

Ч. 5.1 ст. 13.11 КоАП РФ

Повторное нарушение по ч. 5

Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 6–12 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Если не получить согласие на обработку и использование персональных данных

Обработка персональных данных без согласия субъекта запрещена. Нарушителя этого правила могут привлечь к ответственности — дисциплинарной, административной, гражданской и даже уголовной. Однако есть исключения: в ряде случаев работать с персональными данными можно даже тогда, когда их субъект своего согласия не давал. В статье расскажем о видах ответственности, к которым может быть привлечен нарушитель, а также о том, когда получать согласие на обработку информации не требуется.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

ВАЖНО! С 1 сентября 2022 года действует норма, по которой продавец товара или услуги не может отказать в обслуживании клиенту, который не желает предоставлять персональные данные (ст. 16 закона от 07.02.1992 № 2300-1 в редакции, применяемой с 01.09.2022). Подробнее о новом правиле, а также об исключениях из него — здесь.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 6–10 тыс. руб. — на граждан;
  • 20–40 тыс. руб. — на должностных лиц;
  • 30–150 тыс. руб. — на юридических лиц.

Ознакомиться с актуальными штрафами за нарушения при обработке персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к документу бесплатно.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от «КонсультантПлюс». Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени), притом что соответствующий договор не должен содержать положений, ограничивающих права и свободы субъекта персональных данных, как и положения, предусматривающие в качестве условия заключения данного договора бездействие субъекта;
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Предприятие в установленном порядке уведомляет Роскомнадзор об обработке персональных данных. Узнайте больше о данной процедуре из тематической публикации.

Итоги

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Согласие на передачу персональных данных третьим лицам

В соответствии со ст. 6 закона «О персональных данных» оператор вправе поручить обработку персональных данных сотрудника или клиента третьему лицу. Это действие требует обязательного оформления согласия субъекта ПД.

Случаи передачи персональных данных третьим лицам

В пункте 3 статьи 6 закона «О персональных данных» говорится о том, что оператор в ряде случаев может поручить обработку персональных данных, доверенных ему правообладателем, третьим лицам.

При такой передаче соблюдаются следующие условия:

  • если она предусмотрена законом, между сторонами не заключаются соглашение или договор об условиях обработки;
  • если передача происходит по соглашению, стороны заключают договор, раскрывающий условия соглашения;
  • согласие на передачу сведений у правообладателя получает только лицо, передающее данные;
  • лицо, получающее информацию для обработки, не обязано получать отдельное согласие у субъекта персональных данных;
  • в рамках реализации договора оформляется поручение оператора, в котором содержатся сведения о перечне действий, совершаемых доверенным лицом, о целях обработки, а также требования обеспечивать конфиденциальность и защиту ПД;
  • в соглашении (договоре) указываются требования к защите персональных данных, определяемых их категорией (общедоступные, биометрические, иные) и требованиями ФСТЭК РФ.

Ответственность за то, как третье лицо выполняет обязательства по защите персональных данных, всегда несет передавший их оператор. Если осуществляется трансграничная передача информации, на это потребуется оформить отдельное согласие.

На практике персональные данные передаются на обработку третьим лицам в следующих случаях:

  • анализ клиентской базы. В этой ситуации требуется их обезличивание;
  • предоставление сведений банку при реализации зарплатной программы для открытия карточных счетов;
  • передача статистических данных государственным организациям – Росстату, Пенсионному фонду, ФНС;
  • передача информации из ЖКХ организациям биллинговых услуг или управляющим организациям;
  • продажа кредитной задолженности банками;
  • взыскание задолженности операторами связи, организациями ЖКХ.

В ряде случаев такая передача оказывается незаконной, и оператор привлекается к гражданской или административной ответственности, выплачивая штраф или компенсируя убытки правообладателю. Но чаще суды встают на сторону более сильного с состязательной точки зрения субъекта, например, ПАО «Ростелеком», и отказывают в возмещении морального вреда даже при явном нарушении закона оператором персональных данных (дело 2-7574/19 Набережночелнинского суда).

Как оформить согласие на передачу ПД третьим лицам

О необходимости оформлять согласие на передачу персональных данных для обработки третьим лицам говорит не только закон «О персональных данных», но и Трудовой кодекс, который в ст. 88 прямо требует у работодателя оформить письменное согласие в любых случаях предоставления данных третьим лицам, за исключением ситуаций, когда ПД необходимо передать для предотвращения угрозы жизни или здоровью сотрудника. Согласие обязательно потребуется, если данные передаются с целью реализации коммерческих интересов работодателя. Оно не нужно, если сведения передаются в социальные фонды, налоговую, службу государственной статистики, службу занятости или федеральную инспекцию по надзору в сфере трудового законодательства.

Закон прямо не требует от оператора указания в согласии всех третьих лиц, которым он предполагает передать сведения на обработку. Но если у гражданина есть сомнения в правомерности такой передачи и соответствии цели обработки передаваемых ПД закону, он всегда вправе отозвать свое согласие, вынудив оператора обратиться к агенту с требованием уничтожить данные. Отказ от выполнения этой обязанности можно обжаловать Роскомнадзоре, и тогда оператор будет оштрафован в рамках ст. 13.11 КоАП РФ.

Обязательное оформление согласия на передачу персональных данных для обработки третьим лицам становится задачей оператора, его отсутствие приведет к негативным последствиям. Права субъектов персональных данных должны соблюдаться всеми операторами.

Оцените статью:
[Всего голосов: 0 Средняя оценка: 0]
Добавить комментарий