Разглашение персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разглашение персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Адрес электронной почты, указанный в регистрационных данных заказчика единой информационной системы в сфере закупок и в извещении о проведении закупки является достоверным, поскольку при регистрации заказчика в единой информационной системе в сфере закупок и при размещении закупки производится процедура идентификации заказчика, в том числе посредством ЭЦП.

Разглашение и распространение персональных данных без согласия субъекта

Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Статья 137 УК РФ: наказание за разглашение персональных данных

Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.

Основные меры наказания прописаны в статьях 137 и 138 УК РФ:

• за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
• за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
• за разглашение сведений, касающихся субъектов младше 16 лет — 150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
• за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Относится ли номер телефона клиента к его персональным данным?

Порядок работы с персональными данными физического лица утвержден в федеральном законе от 27.07.06г. «О персональных данных» №152-ФЗ.

В частности, в статье 3 этого закона есть ряд определений, которые помогут разобраться, относится ли номер телефона или адрес электронной почты к личным данным физического лица:

• прежде всего, под персональными данными понимается информация любого рода, которая относится прямо или косвенно к определенному или определяемому физическому лицу;

• под обработкой персональных данных понимается любое действие (операция) или их совокупность, которые совершаются с этими данными с помощью средств автоматизации или без них. В перечень указанных действий включается, в частности, сбор, записывание, накопление, хранение, систематизация, обновление, передача и иные операции с персональными данными.

Таким образом, номер телефона или электронная почта клиента подпадают под разряд персональных данных. А получение этих сведений продавцом, чтобы передать клиенту на основании статьи 1.2 новой редакции закона №54-ФЗ кассовые чеки в электронной форме, будет считаться сбором и записыванием персональных данных.

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.

Как передать данные третьим лицам:

1. Определиться с набором сведений, которые будут переданы.
2. Дать согласие на передачу.
3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Что делать, если я не хочу давать согласие на обработку персональных данных?

Если в соответствии с 152-ФЗ предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить вам юридические последствия отказа дать ему персональные данные или согласие на их обработку. Ваш отказ может стать причиной не предоставлять вам услуги.

Но есть статья 16 Федерального Закона «О защите прав потребителей». По ней продавец (тот же оператор) не вправе отказывать потребителю (вам) в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные. За исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Так что получается вы не можете отказаться предоставить адрес проживания и номер телефона, если хотите заключить, например, договор доставки. Но имеете полное право отказаться от предоставления номера ИНН или фотографии, поскольку эти данные не требуются для исполнения договора.

Что делать, если обработка персональных данных проводится не на основании согласия, но я все равно хочу ее прекратить?

Рассмотрим несколько случаев.

Вы – клиент по договору и на основании договора (без отдельного согласия) уже передали оператору персональные данные в большем объеме, чем вам хотелось бы.

Вам необходимо детально изучить необходимые персональные данные для исполнения договора. Если на ваш взгляд, данных обрабатывается больше, чем требуется, написать обращение оператору о прекращении им обработки ненужных по отношению к исполнению договора персональных данных. Срок ответа на такое обращение не более 10 рабочих дней.

Вы соискатель или работник и ваши персональные данные обрабатываются исключительно на основании ТК РФ.

Без определенных персональных данных устроиться на работу не получится. Перечень документов определен ст. 65 ТК РФ. Однако работодатель не имеет право требовать от претендента на вакансию или работника предоставление персональных данных, превышающих необходимый объем (ч. 3 ст. 65 ТК РФ). Работник также имеет право полную информацию об их персональных данных и обработке этих данных (ст. 89 ТК РФ).

Если работодателю необходимы дополнительные данные, не связанные с трудоустройством, например, номер вашей банковской карты для зачисления туда заработной платы, то необходимо оформить согласие на обработку персональных данных для соответствующей цели. При расторжении трудового договора вы вправе написать заявление и отозвать согласие.

А вот данные, предоставленные при трудоустройстве, отозвать и удалить не получится. Они обрабатывались на основании ТК РФ, а значит продолжат обрабатываться и храниться в течение установленного времени. Потом их обработку продолжат в соответствии с требованиями законодательства в области архивного делопроизводства.

Вы не предоставляли свои данные, но их используют в рекламных или прочих целях.

Предположим, вам систематически названивают с предложением услуг или присылают персональные предложения на скидку. А может звонят коллекторы, чтобы заставить кого-то заплатить долг. Нужно уточнить, откуда получены ваши персональные данные.

Если данные получены от третьих лиц или из «открытых» источников, то вы можете подать жалобу в Роскомнадзор на незаконную обработку персональных данных, потому что право предоставлять ваши персональные данные имеете только вы или ваш законный представитель, оформленный соответствующим образом. Например, для несовершеннолетних детей – родители; для всех – человек, действующий на основе доверенности с правом совершать действия от имени субъекта персональных данных.

Что делать, если просят копию паспорта?

Хочу уточнить один момент: в повседневной жизни очень часто сталкиваюсь с тем, что меня просят показать паспорт, а потом при мне же делают с него копию.

Насколько я понимаю, любая организация, у которой есть копия моего паспорта или мои паспортные данные, становится обладателем моих персональных данных и обязана их хранить.

Могу ли я потребовать с организации письменное обязательство о неразглашении моих персональных данных?

Вы совершенно правы. В паспорте содержатся ваши персональные данные. Тот, кому вы их предоставляете, становится оператором персональных данных и должен соблюдать требования закона: использовать данные для конкретной цели, хранить в защищенном месте и не допускать утечки. Операторы сами должны запрашивать ваше согласие на обработку персональной информации.

Насторожитесь, когда копию паспорта делают без вашего согласия. Если паспортные данные окажутся у мошенников, вас могут ждать неприятные последствия.

Мы уже не раз писали про персональные данные. Но давайте еще раз вспомним главное.

Чем грозит утечка паспортных данных

На ваше имя могут оформить кредит или микрозаем. Мошенникам достанутся деньги, а вам — звонки коллекторов и обязанность погасить долг. Конечно, такой кредит можно оспорить в суде, но вы потратите время и нервы.

Вы можете стать учредителем фирмы-однодневки. Паспортных данных достаточно, чтобы зарегистрировать на ваше имя ООО или открыть ИП . Фирмы-однодневки используются для отмывания денег и организации преднамеренного или фиктивного банкротства, ответственность за которые несет в том числе учредитель.

Ваши данные могут использовать для незаконных финансовых операций. Чтобы снять ограничения в некоторых платежных системах, достаточно предъявить фото паспорта. В этом случае вы рискуете стать участником дел о незаконной торговле или финансировании терроризма.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;

или в срок, указанный в постановлении суда;

или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Ответственность за распространение номера телефона и адреса электронной почты

Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).

Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):

• на граждан в размере от 6 000 до 10 000 руб.;
• на должностных лиц — от 20 000 до 40 000 руб.;
• на юридических лиц — от 30 000 до 150 000 руб.

Повторное совершение указанного административного правонарушения влечет наложение административного штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

• на граждан в размере от 10 000 до 20 000 руб.;
• на должностных лиц — от 40 000 до 100 000 руб.;
• на индивидуальных предпринимателей — от 100 000 до 300 000 руб.;
• на юридических лиц — от 300 000 до 500 000 руб.

Срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет 1 год со дня совершения административного правонарушения (ч. 1 ст. 4.5 КоАП РФ).

Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).

Подготовлено на основе материала
В.И. Неклюдова
Государственная инспекция труда
в Нижегородской обл.

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 700 до 1 500 рублей;
• на должностных лиц — от 3 000 до 6 000 рублей;
• на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
• на юридических лиц — от 15 000 до 30 000 рублей.

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Персональные данные: ответы на популярные вопросы

Каждый год Роскомнадзор публикует свою статистику по жалобам о неправомерном использовании персональных данных граждан. Уже не первый год банки являются лидерами данного рейтинга. В начале этого года Роскомнадзор сообщил, что на долю банков приходится 14,2 тыс. жалоб граждан и значительно меньше жалоб на других операторов персональных данных.

В свою очередь я ссылаюсь на официальный документ на подписанный договор и подписанную спецификацию к данному договорю, где указаны ручки красного цвета.

Помимо федеральных льгот и пособий, в регионах есть и собственные меры поддержки неполных семей с детьми.

Поясните, пожалуйста, вас интересует “как быть” вам как сотруднику организации или как представителю организации, которой оказаны некачественные услуги?

Крайне актуальное разъяснение сделал Верховный суд РФ, когда пересматривал итоги спора гражданина, который пытался защитить свои персональные данные. Их на всеобщее обозрение выложила некая фирма, зарегистрированная на далеких тропических островах.

Адвокат Некоммерческой организации «Самарская областная коллегия адвокатов», регистрационный № 63/2099 в реестре адвокатов Самарской области. Член Палаты адвокатов Самарской области. Есть юридический вопрос? Не ждите, что проблема разрешится сама собой.

Образец жалобы на незаконное использование персональных данных

Банк от удовлетворения требований истца уберегло грамотно составленное согласие на обработку персональных данных, в котором было указано, что одной из целей обработки является сбор задолженности в случае передачи банком третьим лицам функций и (или) полномочий по обслуживанию кредита и сбору задолженности на основании заключаемых банком договоров с данными лицами.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).

Похожие записи:

• Замена водительских прав при смене фамилии в вопросах и ответах
• Что положено детям Чернобыльцев и внукам 2023 году
• Порядок подачи жалоб в арбитражный суд: основания, порядок, сроки