Источники персональных данных

Какие персональные данные являются общедоступными

Каждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

  • ФИО;
  • дата и место рождения;
  • домашний адрес;
  • номер телефона;
  • профессия;
  • индивидуальный налоговый номер;
  • место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

К общедоступным данным относится также персональная информация, которая предоставляется:

  • при трудоустройстве, заключении контракта или трудового договора;
  • во время переписи населения;
  • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.

Обработка общедоступных данных

Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

Права субъектов общедоступных данных

Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.

Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.

Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.

В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.

В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.

Об общедоступных источниках персональных данных

В самом конце 2015 года автор этой статьи поучаствовал в обсуждении интересной темы, которая была посвящена необходимости создания единой общедоступной базы данных недобросовестных соискателей работы. Наша компания решила разобраться в этом вопросе.

Аргументация необходимости создания подобных баз проста – есть много не адекватных соискателей, которые не приходят на собеседования, врут в резюме и т.п., так почему бы не озаботиться созданием базы таких вот товарищей к всеобщей пользе всех HR.

Надо сказать, что идея не нова и, наверняка, ряд компаний имеют внутренние базы соискателей. С помощью таких баз кадровики отсеивают неподходящих кандидатов с самыми минимальными затратами времени. Если теоретически предположить, что в распоряжении всех HR страны может появиться такая база, то насколько было бы всем лучше. Ну, так ведь?

Нет, не так. Потенциальные выгоды могут легко перекрыться негативом, который неизбежно возникнет от неправомерного использования данных из базы, необоснованного включения/исключения людей в такие базы, ну и вопросов репутации, чести и достоинства включенных в базы людей.

С 2006 года в России действует федеральный закон «О персональных данных», который однозначно определяет условия, при которых такие базы могут существовать. Итак:

1. Статья 3 федерального закона «О персональных данных» определяет персональные данные, как «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных». Несмотря на кажущуюся очевидность данной формулировки, нередко встречаются заблуждения, что если из набора данных убрать, скажем, ФИО, то данные перестают быть персональными, хотя при этом сохраняется возможность идентификации лица. Другим серьезным заблуждением является восприятие номера телефона лица, как набора цифр, не относящихся к персональным данным, но и это мнение ошибочно (аргументация тут:http://targetsms.ru/blog/166-otnositsya-li-nomer-telefona-k-personalnym-dannym и тут:https://spark.ru/startup/targetsms/blog/13241/yavlyaetsya-li-nomer-telefona-personalnimi-dannimi).

2. Статья 6 федерального закона «О персональных данных» определяет, что «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».

3. Статья 7 федерального закона «О персональных данных» определяет, что «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.»

4. Статья 8 федерального закона «О персональных данных» определяет, что: «1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

5. И наконец, статья 13.11. Кодекса Российской Федерации об административных нарушениях, определяет, что «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.»

Другими словами и короче:

1. Любые данные, относящиеся к физическому лицу (включая просто номер телефона), являются персональными.

2. На обработку персональных данных нужно получить согласие, которое можно в любой момент отозвать.

3. Если у кого-то есть законный доступ к персональным данным, то их запрещено раскрывать кому-либо или делиться с кем-либо без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

4. Специально для желающих создавать общедоступные источники персональных данных предусмотрена письменная форма согласия.

5. За нарушение установленного порядка сбора и хранения персональных данных предусмотрена ответственность.

Вывод

Вывод очень простой и понятный – создание единой общедоступной базы нерадивых соискателей работы возможно только с письменного согласия этих самых нерадивых работников, что, естественно, сводит к нулю вероятность законного создания такой базы. Тем, кто все же решит такие базы создавать и делиться ими с товарищами, наша компания рекомендует ознакомиться с действующими в данный момент наказаниями.

Являются ли общедоступными персональные данные, размещенные в социальных сетях?

dragonstock / .com

Роскомнадзор выявил нарушения в части соответствия деятельности по обработке персональных данных требованиям законодательства по результатам плановой выездной проверки одного из бюро кредитных историй. Эти результаты бюро попыталось оспорить в Арбитражном суде города Москвы (решение Арбитражного суда города Москвы от 5 мая 2017 года по делу № А40-5250/17-144-51).

Суть выявленных Роскомнадзором нарушений заключалась в следующем:

  • финансовая организация не представила уведомление в уполномоченный орган об использовании сервисов Double Data Social Link и Double Data Social Attributes, которые передавали финансовой организации данные физических лиц или потенциальных клиентов из открытых источников информации (ч. 1 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее – Закона № 152-ФЗ);
  • отсутствовало согласие на обработку персональных данных, содержащихся в открытых источниках – в социальных сетях и на интернет-порталах (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).

Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом (п. 1, п. 10 ч. 1 ст. 6 Закона № 152-ФЗ).

Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (ст. 8 Закона № 152-ФЗ). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

В решении арбитража указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях (ч. 3 ст. 22, п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). В связи с чем суд признал предписание Роскомнадзора законным и отказал финансовому учреждению в удовлетворении исковых требований.

Можно ли привлечь к ответственности компанию за использование изображения физического лица без его согласия, если она обнародовала фотографии сотрудников в социальные сети? Ответ на этот и другие практические вопросы – в «Базе знаний службы Правового консалтинга» в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Получить доступ

Суд апелляционной инстанции согласился с выводами нижестоящего суда, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17). Суд кассационной инстанции и Верховный Суд Российской Федерации встали на сторону Роскомнадзора и не нашли оснований для отмены обжалуемых судебных актов (постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017, Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).

Таким образом, суды решили, что персональные данные являются общедоступными при выполнении двух условий: они предоставлены владельцем и доступны неопределенному кругу лиц. По их мнению, из-за отсутствия согласия владельца персональных данных на размещение сведений о нем в соцсетях, нельзя их отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции (ч. 2 ст. 9 Закона № 152-ФЗ).

Ведущий юрист Европейской Юридической Службы Елена Держиева отметила, что по условиям пользовательского соглашения соцсети «Вконтакте» владелец персональных данных дает согласие только на доступ к информации, которую он размещает на своей странице, но не на обработку третьими лицами.

>Что такое общедоступные персональные данные и какие виды информации к этому относятся?

Что это такое?

Общедоступными считаются те сведения о субъекте — физическом лице, которые предоставляются им самим о себе.

К общедуступным данным есть свободный доступ при наличии письменного разрешения субъекта. Сюда также могут входить такие сведения о субъекте, конфиденциальность которых не предусматривается законом.

Субъект – это физическое лицо, информацию о котором собирает, хранит, обрабатывает и с какой-либо целью использует оператор (юридическое или физическое лицо, муниципальный или государственный орган).

Какие виды информации ими являются?

Список личных сведений общедоступного характера включает в себя:

  • фамилию, имя и отчество субъекта;
  • сведения, полученные из удостоверения личности (паспорта);
  • место и дата рождения;
  • адрес регистрации и фактического проживания;
  • образование;
  • контактная информация;
  • ИНН;
  • профессиональная деятельность и места трудоустройства;
  • доходы и т.д.

Особенности

Общедоступные личные сведения представлены в таких источниках, как паспорт или другое удостоверение личности, водительское удостоверение, военный билет, трудовая книжка, диплом об образовании.

Не во всех случаях возникает необходимость в письменном разрешении на их использование, иногда достаточно подписи или «галочки», поставленной в нужной графе (например, при заполнении заявлений через интернет).

Сведения общего характера могут быть помещены в источники с свободным доступом. В них хранится информация о субъектах, к их числу относят разнообразные справочники с телефонными номерами или адресами.

Согласно «Перечня сведений конфиденциального характера» те из них, что подлежат распространению в средствах массовой информации, не являются конфиденциальными.

Обработкой занимаются специальные подразделения или органы, которые собирают, систематизируют, хранят, используют, а также уничтожают сведения. Контроль за законностью использования персональных данных осуществляют Роскомнадзор, ФСБ и ФСТЭК (подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан, читайте ).

ФСТЭК — федеральная служба по техническому и экспортному контролю выдает лицензии организациям, оказывающим услуги другим лицам по созданию систем защиты персональных данных. Система защиты данных создается для своих нужд, лицензия на нее не требуется.

Физическое лицо вправе получить сведения об операторе, а также узнать конкретную цель, преследуемую оператором при обработке.

Субъект имеет полное право подавать заявку, одобрение которой позволяет уточнить, блокировать или уничтожить личные сведения в том случае, если они устарели, недействительны, неполные или их наличие не является обязательным при обработке.

Помимо всего прочего, физическое лицо вправе запросить у оператора доступ к своей личной информации, а также ознакомиться со средствами обработки сведений. Операторы – это специалисты, занимающиеся обработкой информации о человеке.

Органами по обработке персональных данных выступают все организации, которые собирают, обрабатывают, накапливают и хранят сведения о работниках, клиентах, поставщиках.

Подробнее о том, в каких случаях необходим договор на обработку персональных данных, читайте .

В каком случае они включаются в открытые источники?

Включение информации в общедоступные источники происходит в различных ситуациях, например:

  • при трудоустройстве и заключении трудового договора;
  • в процессе переписи населения;
  • установлении торговых отношений и т.д.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите.

Операторы обязаны организовать безопасность процесса работы. Они должны обеспечивать полную защиту личной информации субъектов от доступа к ней посторонних лиц.

В процессе сбора оператор обязан взять письменное разрешение на дальнейшую обработку. В письменное согласие на обработку включается информация о субъекте и об операторе (ФИО, адрес), цель обработки и перечень необходимых сведений, а также описание операций, которые будут производиться с ними.

Гражданин, как владелец персональной информации о самом себе, может отозвать ранее подписанное разрешение на ее обработку. Если субъект недееспособен или в случае его смерти, согласие запрашивается у законных представителей или наследников. В основе действий оператора лежит Федеральный закон «О персональных данных».

Нарушение закона пресекается уголовной, гражданской, административной или другими видами ответственности.

Любая информация о физическом лице — субъекте персональных данных может быть исключена из общедоступных источников на основании требования субъекта, Роскомнадзора, решения суда или других государственных органов.

Персональные данные из публичного доступа

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

Общедоступные и открытые источники персональных данных

В настоящее время правоприменительная и судебная практики претерпевают существенную трансформацию в отношении понимания видов и юридического статуса источников персональных данных (далее – ПДн), доступ к которым предоставлен неопределенному (неограниченному) кругу лиц. Действия по созданию и поддержанию функционирования подобных источников квалифицируются п.5 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) как действия, направленные на раскрытие ПДн неопределенному кругу лиц – распространение ПДн.

С точки зрения действующего законодательства ПДн могут быть сделаны общедоступными двумя основными способами, сравнительная характеристика которых представлена в таблице ниже:

Распространение ПДн оператором Распространение ПДн субъектом
Объективная сторона
Предоставление доступа неограниченного круга лиц к ПДн осуществляется путем включения ПДн в общедоступный источник соответствующим оператором (см. ч.1 ст.8 152-ФЗ). Оператор самостоятельно или совместно с другими лицами осуществляет целенаправленную деятельность по обработке ПДн, в рамках которой распространение ПДн является одним из элементов общего процесса обработки. Одним из признаков целенаправленности деятельности является заблаговременно определенный круг (перечень) субъектов, ПДн которых предназначаются для включения в общедоступный источник ПДн. Предоставление доступа неограниченного круга лиц к ПДн осуществляется целенаправленными действиями самого субъекта ПДн либо по его просьбе (см. п.10 ч.1 ст.6 152-ФЗ и абз.2 ч.1 ст.152.2 ГК РФ). Субъект ПДн является самостоятельным в целеполагании своих действий и выборе способа реализации своего субъективного права на предоставление общего доступа к своим ПДн.
Форма реализации
Организация предоставления общего доступа к таким информационным ресурсам как «справочники, адресные книги». При этом, исходя из буквального толкования норм ч.1 ст.8 152-ФЗ, данный перечень источников не является исчерпывающим и может быть дополнен, например, таким источником как публичные реестры, содержащие ПДн (Единый государственный реестр юридических лиц и индивидуальных предпринимателей, Единый государственный реестр прав на недвижимое имущество и сделок с ним, Реестр уведомлений о залоге движимого имущества, Реестр операторов, осуществляющих обработку персональных данных и т.п.). Использование таких общедоступных информационных ресурсов как корпоративные и профильные сайты в сети «Интернет», Интернет-сервисы (социальные сети, блоги, форумы, видеохостинги и иные сервисы по обмену информацией в сети «Интернет»), печатные издания и информационные стенды с объявлениями различного характера от физических лиц, и т.п. Следует отметить, что для субъекта ПДн существует альтернатива как воспользоваться информационными ресурсами, представляемыми на различном основании другими лицами, так и создать собственный общедоступный информационный ресурс.
Цель
Целью является «информационное обеспечение». К сожалению, законодатель не раскрывает всех аспектов такой цели – в чем состоит ее существо и какие лица (оператор, субъекты ПДн или иные лица) являются бенефициарами от реализации такой цели. Кроме того, применительно к публичным реестрам, в качестве цели можно выделить удовлетворение общественного (публичного) интереса. Цель в законодательстве явно не определена, но можно разумно предположить, что такой целью является удовлетворение личных и (или) семейных нужд субъектов ПДн, т.е. действия для удовлетворения сугубо частного (приватного) интереса.
Правовое основание
Получение у субъекта ПДн письменного согласия, соответствующего требованиям ч.4 ст.9 152-ФЗ. Согласно ч.2 ст.8 152-ФЗ, сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. При этом под вопросом остается определение юридического статуса в качестве общедоступных источников ПДн таких информационных ресурсов как упомянутые ранее публичные реестры – ведь включение в них ПДн осуществляется на основании норм применимого законодательства, а не письменного согласия субъекта ПДн. 1. Конклюдентные действия субъекта ПДн по предоставлению доступа к своим ПДн для неограниченного круга лиц.
2. Согласие субъекта ПДн, данное в любой позволяющей подтвердить факт его получения форме.
3. Исполнения договора (например, пользовательского соглашения), стороной которого является субъект ПДн.

Дистанционный характер взаимодействия между субъектами ПДн и подавляющим большинством используемых субъектами ПДн информационными ресурсами, а также организация размещения ПДн на таких ресурсах, порождают обоснованные сомнения в возможности установления достоверной принадлежности ПДн, предоставляемых пользователем информационного ресурса, и субъектом таких данных. Иначе говоря, неприменение оператором общедоступного информационного ресурса юридически значимых процедур (таких как получение соответствующего письменного согласия субъекта ПДн) по определению тождества между пользователем ресурса и субъектом ПДн препятствует юридической квалификации информационного ресурса (например, социальная сеть, форум, видеохостинг) в качестве общедоступного источника ПДн. Следовательно, сведения о субъектах ПДн, содержащиеся в таких информационных ресурсах, не могут быть отнесены к ПДн, сделанным субъектом общедоступными.

Таким образом, возникает очевидный вопрос: каким юридическим статусом обладают общедоступные информационные ресурсы, операторы которых не имеют возможности подтвердить тождество между пользователем ресурса, предоставляющим ПДн для общего доступа, и субъектом таких ПДн? Ответ на поставленный вопрос может быть обнаружен в постановлении Арбитражного суда Московского округа от 09.11.2017 по делу № А40-5250/2017, в котором вышеуказанные информационные ресурсы с ПДн прямо определены в качестве не общедоступных, а открытых источников ПДн. Данный судебный акт содержит следующую позицию: не являются общедоступными ПДн, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру), и размещение ПДн в указанных открытых источниках, исходя из положений 152-ФЗ, не делает их автоматически общедоступными, так как субъект ПДн не давал письменного согласия (ч.1 ст.8 152-ФЗ) на включение своих ПДн в общедоступный источник. В то же время, действующее законодательство Российской Федерации не содержит норм права, позволяющих явно определить «открытые» источники ПДн и юридически обособить их от иных источников ПДн.

Следует отметить, что в мотивировочной части решения1) суда первой инстанции по данному делу присутствует ссылка на ч.4 ст.7 Федерального закона от 27.07.2006 № 149-ФЗ ФЗ «Об информации, информационных технологиях и о защите информации», согласно которой общедоступной является информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без ее предварительного изменения человеком в целях повторного ее использования. Судом было отдельно отмечено, что данное условие не соблюдается в рамках предоставления неограниченного доступа к ПДн в социальных сетях и иных подобных Интернет-сервисах. При этом данная аргументация отсутствует в решениях судов второй2) и третьей3) инстанций. Такое упущение представляется логичным, так как указанная норма не содержит определения общедоступной информации и прямо не регулирует правой статус и порядок функционирования общедоступных источников информации (включая ПДн), а касается размещения в общем доступе информации в форме открытых данных4).

Кроме того, иная позиция относительно презумпции наличия статуса общедоступного источника ПДн у различных сайтов в сети «Интернет» заявлена в решении Ингодинского районного суда г. Читы № 12-49/2017 от 22 марта 2017 г. по делу № 12-49/2017: «Как следует из материалов дела, 13 декабря 2016 года Тарасов А.П. обратился в Управление Роскомнадзора с заявлением о неправомерной обработке его персональных данных, а именно: размещением без его согласия фамилии, имени, изображения и занимаемой должности 11 декабря 2016 года на сайте «kommenti.ru». По итогам проверки Управление Роскомнадзора 27 января 2017 года ответило заявителю об отсутствии нарушения указанного закона администратором сайта Фроловым С.В., использующего упомянутые персональные данные в творческой деятельности при отсутствии нарушений прав и законных интересов субъекта персональных данных, получившим их из общедоступных источников — сайтов пяти наименований, в том числе информационного агентства «Чита.ру», официального портала Забайкальского края и справочников Гугл (Google)… При наличии перечисленных персональных сведений в общедоступных источниках, невозможно с очевидность утверждать о их размещении без согласия Тарасова А.П.».

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *