Новые правила обработки и распространения персональных данных с 1 марта 2021 года

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Закон о персональных данных 152 ФЗ: как не нарушить

Незнание законов не освобождает от ответственности. Поэтому, чтобы организации, признанной оператором, не нарушить законопроект, следует защитить себя всеми возможными способами:

Согласие субъекта на обработку должно быть письменное. Так компании легче будет доказать добровольность разрешения на использование частных сведений.
Не просить лишние данные

Информация должна соответствовать конкретной цели.
При любом вопросе пользователя сообщать, как и зачем используются его личные сведения.
Сразу же избавляться от ненужных ПДн.
Уделить внимание безопасности базы данных.
Быть зарегистрированным в реестре Роскомнадзора.
Несовершеннолетний гражданин не может быть самостоятельным субъектом.

Если организация обрабатывает ПДн своих подчиненных, подавать заявление необязательно.

Мифы о 152-ФЗ

Из-за того, что Федеральный закон «О Персональных данных» все еще размыт в своих определениях, возникли заблуждения, которые с постановлением не имеют ничего общего.

Первый миф. Если клиентская база данных находится в облачном хранилище, то согласно условиям ФЗ-152 ответственность перейдет на компанию, которая это хранилище обслуживает.

Нет, оператором по-прежнему остается организация, поместившая сведения в «облако». Дело в том, что интернет-хранилища — это накопители данных. У компании-владельца «облака» нет права использовать файлы своих клиентов. Поэтому хранилище отвечает за персональные данные. Это все равно, что надеяться на флеш-карту.

Второй миф. Если организация использует последнюю версию антивируса на своем ресурсе, это считается соблюдением ФЗ-152 2006 г.

Нет. Главное содержание законопроекта в том, чтобы защищать исключительно персональные данные физических лиц, а так как базы данных не хранятся на публичных сайтах, то и использование антивируса не считается защитой частных сведений. Хорошо, когда компании с ответственностью подходят к своей безопасности, но лучше доверить защиту личной информации профессионалам.

Юристы убеждены, что Федеральный закон «О Персональных данных» ждет еще не одна поправка. Но несмотря на это ФЗ-152 уже на протяжении 13 лет практикуется в нашей исполнительной системе. Каждый год по причине несоответствия закону закрываются новые сайты, а их владельцам выписывают штрафы.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках. 

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Обеспечение безопасности персональных данных при их обработке

В 18, 18.1, 19 параграфах ФЗ-152 сообщается, что вся ответственность за безопасность и сохранность частной информации полностью ложится на оператора. При использовании личных сведений физического лица организации должны быть уверены, что проводимая ими работа конфиденциальна, а утечки быть не может.

Также органами государственной власти устанавливаются следующие параметры, влияющие на безопасность личных сведений:

• Уровень защищенности — категория ограничения использования частной информации в тех случаях, когда данные могут оказаться под угрозой.
• Требования к безопасности информационных сетей — организация должна быть уверена в защищенности базы с личной информацией в сети.
• Технический уровень носителей информации — категория, которая заставляет операторов пользоваться только максимально безопасными средствами для хранения данных.

Все требования для поддержания безопасности хранения и использования данных должны своевременно выполняться оператором. За этим процессом пристально следят контролирующие органы.

Выполнение требований 152-ФЗ в банковской сфере

Именно изменение закона в 2011 году позволило Российскому Центробанку иметь дело с документами, которые тем или иным образом касаются обработки личных данных. Однако в связи с этим возникло несколько законодательных конфликтов. Дело в том, что условия ФЗ-152 начали конфликтовать с некоторыми положениями «Стандарта Банка России».

Основной конфликт двух государственных документов произошел в связи с методами безопасного хранения конфиденциальной информации. ФЗ-152 приемлет только те виды защиты данных, которые прописаны в его регламенте. В то время как Банк России пользуется совершенно иными средствами. К этому следует добавить также понятийное несоответствие. Так, под определение клиентских сведений попадают все платежные процессы, что делает их совершение более затруднительным.

Поэтому до сих пор выполнение требований закона «О персональных данных» структурами банка не до конца регламентировано и ждет более четких сводов прав и обязанностей.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:

• Если обработка сведений предусмотрена законодательством Российской Федерации без разрешения владельца.
• Если личная информация используется в судопроизводстве.
• Если ПДн использует исполнительная ветвь власти РФ.
• Обработка на портале Госуслуги.
• При заключении договора о приобретении товара или услуги.
• Использование частных сведений необходима в жизненно опасных ситуациях, когда владелец не способен дать разрешение.
• В художественном произведении при условии ненарушения прав субъекта.
• В журналистских расследованиях и научных работах.
• Если личные сведения раскрыты в соответствии с Федеральным Законом.

Несанкционированный доступ к персональным данным – какие пробелы исправить работодателю

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е

работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них

Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:

• технологии обнаружения несанкционированного доступа,
• поведение работников, привыкших «делиться» данными своей учетной записи с соседями по кабинету, по трудовой функции,
• элементарные сообщения специализированных программ (наличие таковых) и документирование их отработки,

К сожалению, перечисленное является бытовым, привычным проявлением несанкционированного доступа к персональным данным, повсеместно распространенным, с которым бороться сложно. Но новшество касается именно этих «дыр» в политике обработки данных работодателем, в информационной безопасности персональных данных юридического лица.

Для анализа фактического состояния дел можно обратиться к «ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения» (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст), который содержит принципы обеспечения сохранности данных.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего. 

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда. 

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ. 

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Что регулирует закон «О персональных данных»?

Сфера действия постановления — контроль над личной информацией, которой обладают следующие виды структур:

• госорганы;
• власти конкретных субъектов РФ;
• учреждения местного самоуправления;
• юридические лица;
• физлица, совершающие обработку личной информации.

Нормы ФЗ №152 контролируют во всех государственных и коммерческих организациях конфиденциальность ПДн, принадлежащих конкретному физическому лицу. Однако под действие закона не попадают следующие категории:

• использование информации гражданами для личных целей при отсутствии нарушения прав обладателя;
• недействительные документы, находящиеся на хранении в Архивном фонде РФ;
• ПДн, отнесенные под категорию «государственная тайна».

Таким образом, ФЗ №152 обязует хранителей персональной информации поддерживать неразглашение личных сведений физлица.

Принципы и условия обработки ПД

Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.

Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:

• частные сведения используются только для заранее оговоренных двумя сторонами задач;
• составление базы из личной информации невозможно;
• на использование сведений должны быть основания;
• обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
• обрабатываться должна только действующая информация;
• объемы сведений не превышают разрешенного соглашением показателя;
• хранение информации не превышает временной промежуток, необходимый для достижения цели;
• устаревшие сведения подлежат немедленному уничтожению.

Частная информация используется в конкретных условиях:

• обязательное согласие физического лица;
• судопроизводство;
• приведение приговора в исполнение;
• ситуации, в которых под угрозой жизнь субъекта.

В случаях, если организация возлагает работу по обработке частных сведений на третье лицо, ответственность полностью переходит на компанию, занимающуюся использованием и хранением информации.

Судебная практика по 152-ФЗ

Принятие законопроекта и его глобальная поправка вызвали массу судебных отзывов.

Первая жалоба была отправлена в Конституционный Суд Российской Федерации. Истец заявлял, что ФЗ-152 противоречит основному принципу Конституции РФ, то есть праву на частную жизнь. Суть иска заключалась в том, что исполнительные органы будут иметь доступ к личным сведениям без разрешения их владельца. И по приказу им будет доставлены сведения. Однако на заявление истца суд ответил отказом, так как посчитал, что персональные данные не подходят под определение «Частная жизнь», ведь субъект сознательно делится ими с оператором.

Следующее судебное разбирательство было связано с размещением личных данных гражданина в региональной газете. Редакция позволила себе упомянуть на своих страницах частную информацию об истце без его согласия. В ответ на этот текст гражданин отправил иск в Верховный Суд Российской Федерации с требованием закрыть печатное СМИ. В результате слушания суд решил в принудительном порядке закрыть газету.

Суть закона

Требования постановления заключаются в следующих аспектах:

1. Организация обрабатывает персональные данные только при заключении письменного соглашения с владельцем.
2. Биометрические сведения не разглашаются третьим лицам.
3. Хранить информацию можно только на территории России. Это условие соблюдается для всех видов носителей, в том числе и хостингов интернет-сайтов.
4. Оператор использует частные данные исключительно при процессах, оговоренных в соглашении. С ними владелец информации ознакомлен.
5. При завершении работы организация обязана уничтожить данные.

Контролируют соблюдение всех условий закона государственные организации:

• Роскомнадзор;
• Федеральная служба по техническому и экспортному контролю;
• трудовая инспекция.

У законопроекта три действующие стороны: организация,  использующая ПДн, лицо, которому они принадлежат, и исполнительные органы, следящие за правоотношениями участников.

Изменения и комментарии к закону

Первое краткое дополнение к законопроекту было добавлено в 2009 году вместе с принятием ФЗ под номером 363. Это изменение повлияло на цифровую систему обработки. Все операторы с 2010 г. должны были перейти на единую программу хранения и использования частной информации.

Новое изменение вступило в силу в июле 2011 года. Эта поправка концентрировалась на поправке многих положений закона. Уточнялись условия попадания информации, пояснялись нормы, касающиеся передачи сведений, расширялся регламент принципов

Также большое внимание уделялось соблюдению правил безопасного применения и хранения данных, ужесточились наказания за несоблюдение норм, прописанных в постановлении

Последнее на данный момент изменение в ФЗ-152 было утверждено в феврале 2017 года. Это дополнение перенесло нарушение условий законопроекта в разряд административных преступлений. С момента внесения поправки недобросовестные операторы начали караться рублем. Штраф за несоответствие ФЗ-152 начал составлять сумму от 40 000 до 75 000 рублей, в зависимости от категории нарушения.

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна. 

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Государственный контроль и надзор за обработкой персональных данных

В ее функции входит:

• запросы на предоставление личной информации для выполнения своих полномочий;
• проверка полученной от источников информации;
• выставление требований к операторам об уничтожении личных сведений;
• принятие необходимых действий для прекращения обработки частных данных, если процесс не соответствует закону;
• подача в суд на организации, нарушающие ФЗ-152.

Помимо функций, связанных с поддержанием федерального постановления, Роскомнадзор участвует в улучшении, а также уточнении ФЗ-152. Происходит это путем выдвижения на рассмотрение законодательных инициатив. Хотя, по сути, Роскомнадзор все еще остается исключительно исполнительным органом власти.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.