Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что такое персональные данные по GDPR?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.
Как получить согласие на обработку персональных данных
Обработка персональных данных — это любые действия с личной информацией:
- получение;
- структуризация;
- хранение на носителях — в электронных и бумажных архивах;
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание — устранение очевидной связи между человеком и его ПД;
- блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Что отразить в политике конфиденциальности
Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:
- основание и цель сбора персональных данных;
- наименование, контактные данные и адрес;
- информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
- виды данных для обработки и источники их получения;
- сроки обработки и хранения персональных данных;
- способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
- информация о передаче данных за пределы России.
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Персональные данные умершего
Информация об умерших по общему правилу не относится к персональным данным и не охраняется GDPR. Тем не менее, в контексте этого вопроса целесообразно рассмотреть несколько специальных случаев.
Например, если контроллеру неизвестно, жив ли субъект персональных данных, то он обязан обрабатывать персональные данные такого субъекта в соответствии с требованиями GDPR.
WP29 также отмечает, если информация об умерших может одновременно касаться и живых, то такая информация составляет персональные данные.
Например, если умерший болел гемофилией (болезнь, обусловленная мутацией X-хромосомы, которая передается генетически), то его дети в абсолютном большинстве случаев также будут болеть гемофилией. В этом случае, сведения о том, что умерший болел гемофилией, будут считаться персональными данными даже после смерти человека.
Обработка персональных данных физических лиц с момента рождения и до смерти, а в отдельных случаях — после смерти, подпадает от регулирования GDPR.
Ответственность за распространение персональных данных
В зависимости от конкретного правонарушения, оператор может понести достаточно серьезное наказание за нарушения соглашения о хранении и сборе персональных данных или за незаконные действия с ними.
Роскомнадзор регулярно проводит проверки, позволяющие выявить недобросовестных или вовсе не зарегистрированных официально операторов. По итогам проверки или обращения в суд частным лицом в связи с нарушением ФЗ «О персональных данных», может быть назначено наказание по трем направлениям:
- Гражданское.
- Административное. Случаи нарушений рассмотрены в статьях КоАП 27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2.
- Уголовное. Основания изложены в Уголовном кодексе Российской Федерации в статьях ст.137, 140, 155, 183, 272, 273, 274, 292, 293.
- Дисциплинарное на основе положений Трудового кодекса, в частности статей ст.81; ст.90; ст.195; ст.237; ст.391
А также дополнительные взыскания на основе подзаконных актов, издающихся в субъектах Российской Федерации, различных государственных ведомствах и организациях любого типа.
Наиболее распространенными формами наказания за нарушения подобного порядка являются штрафы различного размера, административные взыскания, но также возможно и заключение под стражу за нарушение персональных данных.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Необходимо запомнить, что субъект персональных данных — это физическое лицо. И без его разрешения (или со стороны суда в определённых моментах) они не должны попасть в руки третьих лиц, пускай это даже рядовой кадровый сотрудник предприятия. Любые операции с информацией допускаются только при наличии согласия. Особенно много проблем в связи с этим возникло у кадровых агентств. Ведь им сейчас формально запрещено пользоваться доступными открытыми базами данных, которые можно найти в Мировой сети, поскольку они не получали от потенциального работника согласие на использование их информации. Хотя, формально, получать письменное согласие на обработку не нужно. Но существует вероятность судебного спора, поэтому очень желательно, чтобы этот факт имел физическую форму в виде бумаги.
Цель использования данных
Нельзя не сказать и еще об одном отличии персональных данных от другой информации – это целевой характер использования персональных данных.
Так, например, исходя из п. 1 ст. 86 ТК РФ обработка данного вида информации может производиться исключительно в целях, «обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества». Данное положение также весьма эффективно способствует отграничить персональные данные от иной информации.
Таким образом, вышеприведённые критерии разграничения дают возможность на практике без труда отграничить персональные данные от иной информации, что исключит ошибки в процессе их использования, а также станет эффективным механизмом в защите прав потребителя.
Всегда ли требуется согласие лица на обработку его персональных данных?
По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;
— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;
— необходима для исполнения полномочий госорганов;
— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;
— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;
— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;
— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;
— данные являются общедоступными (например, справочники, адресные книги);
— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.
Специальные категории
Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:
- Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
- Обработка ПД, перечисленных в пункте 1, допускается.
Но при условии, если:
- на обработку ПД получено письменное разрешение от их владельца;
- они общедоступны;
- ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
- она необходима при осуществлении судебных мер;
- она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
Персональные данные – использование на предприятии
В главе 14 Трудового кодекса РФ раскрывается понятие ПД работника. Это данные, которые позволяют получить определенные характеристики человека в качестве сотрудника конкретной компании (стаж работы, профессиональная квалификация, заработная плата, данные по ФНС, ПФР и пр.).
Такие ПД должны храниться должным образом и применяться для того, чтобы помочь работнику выполнять его обязанности в соответствии с его должностью и профессией, продвигаться по служебной лестнице, повышать свою квалификацию и получать новые профессиональные знания. Также ПД используются с целью защиты сотрудников и имущества компании.
Личная информация сотрудника может содержать только те данные, которые относятся к его профессиональным качествам, особенностям, позволяющим ему выполнять трудовые обязанности. По Конституции Российской Федерации, личная жизнь считается неприкосновенной и конфиденциальной, ее частью являются ПД.
В Трудовом кодексе узко определено данное понятие. В нем говорится, что ПД работника являются сведениями, необходимыми руководству предприятий для выполнения им своих профессиональных обязанностей, эта информация относится к конкретному работнику.
Нормативно-правовая база
Основные юридические документы, устанавливающие принципы использования ПДн:
- Конституция Российской Федерации. Статьи 23 и 24 гарантируют гражданам неприкосновенность частной жизни, личную и семейную тайну, конфиденциальность в переписке, телефонных разговорах и иных сообщениях. Согласно этим положениям, ПДн принадлежат только их носителю и не должны контролироваться третьими лицами без его согласия. Со стороны государства гарантируется защита этого права граждан.
- Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 определяет, кто и на каких условиях может использовать ПДн гражданина.
- Ребенок скрипит зубами во сне
- Свиная рулька запеченная в духовке
- Что значит зеленый кал у ребенка и взрослого человека
Для работников различных отраслей существуют отдельные нормативные акты, регулирующие правила обработки личной информации:
- Для трудящихся в организациях энергетической отрасли – Приказ Минэнерго России №166 «О работе по обработке персональных данных» от 11.11.2008.
- Для госслужащих – Федеральный Закон №79-ФЗ «О государственной гражданской службе РФ» от 27.07.2004.
Хранение ПДн и механизм защиты
В соответствии с требованиями законодательства, операторы должны самостоятельно использовать средства обеспечения безопасности для собранных ими персональных данных. Это реализуется при помощи:
- Допуска к работе с информационной системой только заранее определенного круга лиц, имеющих соответствующие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специального типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специальном электронном журнале. С помощью современных информационных технологий можно сделать этот процесс автоматическим.
- Мер по созданию высокого уровня защищенности ИС, блокировке несанкционированного доступа (например, в результате хакерской атаки), оперативному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и пр. Если личные сведения находятся в аналоговой форме (например, это бумажные анкеты с информацией о работниках предприятия), необходимо принять меры для их перевода в цифровой формат.
- Контроля Роскомнадзора, следящего, чтобы текущая обработка личной информации работников велась в соответствии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей происходило в условиях, когда исключена утечка персональных данных и их незаконное использование.