Право на конфиденциальность личных данных

Содержание

Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста)

Право на конфиденциальность личных данных

Закон.Ру – официально зарегистрированное СМИ. Ссылка на настоящую статью будет выглядеть следующим образом: Рожкова М.А.

  Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста) [Электронный ресурс] // Закон.ру. 2019. 18 марта. URL: https://zakon.

ru/blog/2019/3/18/yavlyayutsya_personalnye_dannye_dejstvitelno_konfidencialnymi_ili_kak_sootnosyatsya_kategorii_person

Достаточно часто в отечественных публикациях и выступлениях звучат утверждения, что персональные данные являются конфиденциальными и вследствие этого охватываются понятием «тайна». Некоторых это приводит к выводу о целесообразности объединения в одном законе норм, регулирующих как тайны, так и персональные данные.

Попробуем разобраться, насколько верна такая позиция.

Понятие конфиденциальности

В русском языке синонимами слова «конфиденциальный» традиционно являются «секретный», «тайный», «доверительный», «не подлежащий огласке»[1]. Поэтому понятия «тайна», «секрет», «конфиденциальность» всегда признавались равнозначными и использовались для обозначения того, что неизвестно другим и не должно быть раскрыто под угрозой применения мер ответственности. 

В отечественном законодательстве нашел закрепление подход, согласно которому под тайной понимаются сведения, которые не известны третьим лицам и не могут быть ими свободно получены, обладают определенной ценностью, защищаются от несанкционированного доступа к ним.  В частности, выделяются государственная (в том числе военная), профессиональная, служебная, коммерческая тайна, секрет производства – для них установлены соответствующие правовые режимы.

Изучение зарубежного опыта позволяет сделать вывод о том, что за понятием «конфиденциальность» сегодня признается более широкое значение – им охватываются как собственно тайны (секреты), так и иные формы ограничения применительно к конкретным типам информации[2]. Выделяют две основные разновидности конфиденциальности:

– секретность (secrecy), которая понимается как форма сокрытия информации, которая носит недобровольный характер и предусматривает санкции за разглашение.

Именно под режим secrecy подпадают упомянутые выше государственные, профессиональные, служебные, коммерческие тайны, тайны частной жизни (личные, интимные, семейные), а также, например, информация для служебного пользования, согласованная контрагентами конфиденциальная информация и т.п.

– приватность (privacy), представляющая собой форму ограничения доступа к личным сведениям, в силу которой всякое использование таких сведений допускается только с согласия субъекта этих сведений.

Эта разновидность конфиденциальности распространяется на личную информацию, которая не является тайной (секретом), но использование которой третьими лицами допустимо лишь при условии соблюдения определенных правил.

Под режим privacy подпадает любая личная информация, использование которой третьими лицами может привести к нарушению неприкосновенности частной жизни субъекта этой информации.

Надо признать, что обозначенное разграничение проникло и в отечественное право. Именно о privacy (как разновидности конфиденциальности) идет речь в ст. 2 Федерального закона от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в которой под конфиденциальностью информации предлагается понимать «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

Эта новация стала результатом начала ратификационного процесса подготовки России к участию в Конвенции 108[3], о которой речь пойдет далее.

Конвенция 108

Эту часть статьи хотелось бы предварить замечанием, уже звучавшим в моей предыдущей работе: общеизвестный термин «personal data» было бы вернее перевести на русский язык не как «персональные данные», а как «личные данные», «личные сведения» или «личная информация» (далее эти выражения будут использоваться как синонимы). На мой взгляд, это значительно облегчило понимание целей и сущности отечественного законодательства о персональных данных. 

ConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalDataCETSNo. 108 (Strasbourg, 28.I.1981), название которой можно перевести как Конвенция о защите частных лиц применительно к автоматизированной обработке личных сведений (далее – Конвенция 108), представляет собой международный договор, нацеленный на решение проблем, порождаемых использованием новых технологий.

В преамбуле Конвенции 108 отмечается увеличение трансграничного потока личной информации, которая сегодня подвергается автоматизированной обработке (включающей хранение, аналитику, изменение, уничтожение, поиск, распространение личных сведений). Указывается, что в этих условиях необходимо усиление защиты прав и свобод граждан, в частности права на неприкосновенность частной жизни.

С учетом этого цель Конвенции 108 состоит в обеспечении для каждого частного лица уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в том что касается автоматизированной обработки его личной информации (ст. 1).

Для краткости эта цель обозначена как «защита данных».

 Иными словами, использованное в Конвенции 108 выражение «защита данных» должно пониматься в контексте защиты не самих по себе личных данных, а прав и основных свобод частных лиц, которые могут быть нарушены при автоматизированной обработке (использовании) этой информации.

В ст.

7 Конвенции 108 закреплено положение, касающееся обеспечения безопасности личных данных: в ней предусмотрено, что для целей безопасности личной информации, хранящейся в автоматизированных базах данных, принимаются надлежащие меры, направленные на предотвращение (1) случайного или несанкционированного уничтожения / (2) случайной потери сведений / (3) несанкционированного доступа, изменения или распространения таких сведений.

Помимо упомянутых мер безопасности Конвенция 108 в ст.

8 закрепляет дополнительные гарантии для субъектов личных сведений, предоставляя им возможность: (1) знать об автоматизированных базах личных данных и их целях; (2) получать подтверждение того, что их личная информация хранится в такой базе; (3) добиваться исправления или уничтожения данных, если они подверглись обработке в нарушение национального законодательства; (4) при невыполнении указанных просьб использовать соответствующие средства правовой защиты.

В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.

Отечественное законодательство о персональных данных

В 2006 году в рамках упомянутого ратификационного процесса был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), который, как следует из его ст.

1, призван урегулировать отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без таковых в установленных законом случаях[4].

 В качестве цели Закона о персональных данных (подобно Конвенции 108) указывается на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

В п. 1 ст.

19 Закона о персональных данных предусмотрена обязанность оператора при обработке данных принимать меры по обеспечению их безопасности – необходимые правовые, организационные и технические меры, направленные на предотвращение: (1) неправомерного или случайного доступа к ним; (2) уничтожения данных; (3) их изменения; (4) блокирования; (5) копирования данных; (6) предоставления; (7) распространения персональных данных, а также от иных неправомерных действий.

Помимо этого в Законе о персональных данных содержится ст.

7, носящая наименование  «Конфиденциальность персональных данных», которая закрепляет следующее положение: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». По всей видимости, именно ст. 7 и подводит многих юристов к мысли о том, что персональные данные – это сведения, которые следует рассматривать как разновидность тайны.

Однако подобные выводы неверны.

Во-первых, под категорию «персональные данные» на сегодняшний подпадают разные по своей природе разновидности личной информации, в том числе сведения, однозначно не являющиеся секретными и ни в коей мере не относящиеся к тайне (на это указывалось в моей предыдущей статье о персональных данных).

Во-вторых, ст. 7 Закона о персональных данных, по сути, лишь устанавливает общий запрет на использование личных сведений граждан без их согласия операторами и другими лицами, получившими доступ к этим сведениями. Иными словами, в данной статье Закона о персональных данных, как и ст. 2 Закона об информации, под конфиденциальностью понимается privacy.

Исходя из вышеизложенного, можно заключить, что понятие «персональные данные» отнюдь не тождественно понятию «тайна». Это заключение основано в том числе и на том, что конфиденциальность персональных данных предполагает иную форму ограничения (privacy), отличающуюся от режима секретности (secrecy).

[1] См., например: Ожегов С.И. Словарь русского языка: 70000 слов / Под ред. Н.Ю. Шведовой. М.: Рус.яз., 1991. С. 293; Словарь иностранных слов. М.:

[2] См. например, Shils, Edward A. The Torment of Secrecy: The Background and Consequences of American Security Policies. Chicago: Ivan R. Dee. 1956, reissued 1996.

[3] Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

[4] «…без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным».

P.S. IP CLUB лента новостей в сфере интеллектуальной собственности и Digital Law в

– https://www..com/ipclubin

– https://.com/ipclubin

Telegram – https://t.me/ipclubin

– https://.com/ipclubin

Источник: https://zakon.ru/blog/2019/3/18/yavlyayutsya_personalnye_dannye_dejstvitelno_konfidencialnymi_ili_kak_sootnosyatsya_kategorii_person

Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать

Право на конфиденциальность личных данных
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов.

Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

  • Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
  • Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
  • Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
  • Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки, то можно получить на него сертификат самостоятельно.

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Если вы храните данные в облаке от Mail.ru Cloud Solutions, часть требований выполняем мы. Например, защищаем серверы или собираем информацию о событиях безопасности. Еще мы поможем построить систему защиты данных по требованиям ФСТЭК и аттестовать ваше ПО по требованиям закона.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

  • Физлицо — на 700–2000 рублей.
  • Должностное лицо — на 4 000–10 000 рублей.
  • ИП — на 10 000–20 000 рублей.
  • Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Публичные документы: их показываем тем, у кого берем персональные данные

Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

Образец согласия на обработку персональных данных. Источник

Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Образец приказа о назначении ответственного за персональные данные. Источник

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Что будет, если не разработать документы

Можно получить сразу два штрафа:

  • За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
  • За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  • 100–500 рублей для физлиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

  • Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  • Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

  • 3 000–5 000 рублей для физлиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юрлиц.

Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

  • Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
  • Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
  • Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
  • Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
  • Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/kak-vypolnit-152-fz-o-zashchite-personalnyh-dannyh

Читать по теме:Защита персональных данных в облаке: как сделать все по закону 152-ФЗСоблюдение законов о персональных данныхКибербезопасность в B2B: как бизнесу защититься от хакеров

Источник: https://zen.yandex.ru/media/mcs/kak-vypolnit-152fz-o-zascite-personalnyh-dannyh-i-chto-s-vami-budet-esli-ego-ne-sobliudat-5ec6e5b0cdaa790dc5daa1e1

Что такое неприкосновенность частной жизни в России, Или персональные данные в 13 вопросах и ответах

Право на конфиденциальность личных данных

Простые ответы на очевидные и не самые очевидные вопросы.

Какая информация относится к персональным данным?

Ст.

3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных).

Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст.

10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст.

11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Все ли фотографии и видеозаписи конкретного лица являются его персональными данными?

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

А размер зарплаты — это персональные данные?

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой.

В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров.

Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании.

Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова.

При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения.

Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

Всегда ли требуется согласие лица на обработку его персональных данных?

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренныхмеждународным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Являются ли общедоступными персональные данные, размещенные в социальных сетях?

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «», «Мой Мир», , Instagram, Avito, Avto.

ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см.

постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Возможно ли получение согласия на обработку персональных данных через интернет или по телефону?

Ст.

9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

А может ли оператор поручить обработку персональных данных третьему лицу?

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются.

В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия.

Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Можно ли отозвать данное ранее согласие?

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Какие еще права есть у лица в отношении собственных персональных данных?

Ст.

14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14.

В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Каковы наиболее часто встречающиеся нарушения в отношении персональных данных?

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Какое наказание грозит за нарушение правил обращения с персональными данными?

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб.

для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.).

Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

А как насчет возмещения вреда?

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда.

В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб.

К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс.

, даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Чем на практике грозит требование к международным компаниям о локализации баз данных в РФ?

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года.

До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см.

Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — и . Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб.

Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года.

31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Ъ

CategoriesTagsзащита персональных данных, ПД, персональные данные

МЕТОДИКА РАСЧЕТАМИНИМАЛЬНОЙ СТОИМОСТИУСЛУГ ПО ОХРАНЕ

Источник: http://guardinfo.online/2020/02/07/chto-takoe-neprikosnovennost-chastnoj-zhizni-v-rossii-ili-personalnye-dannye-v-13-voprosax-i-otvetax/

Российское и международное законодательство в области защиты персональных данных

Право на конфиденциальность личных данных

В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций. Итак, в сегодняшней серии – персональные данные, поехали!

Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.

Российские нормы по защите персональных данных

Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.

Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками.

С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году.

Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.

Совместная работа стран-участников Конвенции продолжается и по сей день.

Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Источник: https://habr.com/ru/post/470888/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.