Закон о персональных данных. Что нужно знать

Юридическим лицам и ИП

Вне зависимости от размеров компании или оборотов, любому бизнесмену и индивидуальному предпринимателю необходимо знать федеральный закон 152-ФЗ. Ведь практически любой предприниматель рано или поздно получает доступ к персональным данным других людей. И тут главное знать правила обращения с этими персональными данными, чтобы не дай бог не нарушить правила, установленные Роскомнадзором.

В бизнесе, вне зависимости от его масштабов, всегда сталкиваешься с теми или иными персональными данными. Договор с контрагентом, обслуживание клиента, приём на работу сотрудника, приём денежных средств за выполненные работы или услуги – это все содержит те или иные персональные данные.

Предоставляющие персональные данные граждане хотят быть уверены, что эти данные не попадут в руки злоумышленников. И именно этому призван противостоять федеральный закон №152-ФЗ "О персональных данных".

Существует определённый перечень нормативных документов, регламентирующий процесс сбора, хранения, обработки и уничтожения персональных данных. Отсутствие такового может привести к достаточно крупному штрафу со стороны Роскомнадзора.

Гражданам

Знание своих прав в сфере обращения с персональными данными может быть весьма полезно в ряде случаев, когда наличествуют споры, доказательной базой в которых выступают персональные данные. Ярким примером является установка системы видеонаблюдения за действиями сотрудников и посетителей в организации.

По мнению Роскомнадзора, установка системы видеонаблюдения является существенным условием трудового договора (справедливости ради стоит отметить, что мнение судов иногда расходится с мнением по этому вопросу Роскомнадзора, пример – апелляционное определение по делу №33-8403/2013 от 15.10.2013 Алтайского краевого суда), и должна быть оформлена в соответствии с действующим законодательством.

Известны случаи, когда работодатель, предъявляя материальные или дисциплинарные претензии к сотруднику, либо увольняя его, использовал в качестве доказательной базы записи с камер видеонаблюдения, но суды восстанавливали сотрудника в правах, поскольку данные видеоматериалы были получены с нарушением действующего законодательства.

Роскомнадзор

Роскомнадзор является контролирующей организацией, призванной наблюдать за соблюдением действующего законодательства в процессе работы юридических лиц и ИП с информацией. Проверки Роскомнадзора инициируются как по заявлениям граждан о нарушениях в сфере использования персональных данных, так и по собственной инициативе Роскомнадзора.

Если в результате проведённой проверки выяснится, что отсутствует обязательный пакет нормативных документов в сфере работы с персональными данными, либо таковой пакет не полон, предпринимателя ждут штрафные санкции от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном, а организация может быть закрыта.

Персональные данные

Согласно действующим нормам, персональные данные – это любая информация, которая позволяет либо точно идентифицировать физическое лицо (субъекта персональных данных), либо предположить, что в данном случае речь идёт именно о конкретном человеке, а не о каком-либо абстрактном лице.

В ст. 3 федерального закона № 152-ФЗ сказано:

"В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".

К таковой информации относятся:

• Ф.И.О.,
• дата рождения и место рождения человека,
• место проживания, либо место регистрации гражданина,
• род занятий, образование, место работы,
• данные паспорта, СНИЛС, ИНН физического лица,
• семейное положение,
• социальное либо имущественное положение физического лица,
• номер телефона гражданина (дополнен Постановлением Правительства РФ от 13.09.019 № 1197),
• адрес электронной почты (дополнен Постановлением Правительства РФ от 13.09.019 № 1197).

Специальные данные

Понятие "специальные данные" раскрывается в ст. 10 федерального закона 152-ФЗ:

"1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии".

Биометрические данные

Это физиологические и биологические особенности человека, позволяющие идентифицировать его личность (сетчатка глаза, отпечатки пальцев, фото-, видеозаписи и т.д.). Они могут обрабатываются только с письменного согласия человека.

Существуют случаи, когда действующее законодательство позволяет обрабатывать биометрические данные без наличия письменного согласия. Это:

• при осуществлении правосудия и привлечении гражданина к ответственности;
• для обеспечения розыска, в том числе международного;
• для проведения дактилоскопии (опознания трупа);
• для обеспечения исполнения миграционного законодательства;
• при реализации антикоррупционных и антитеррористических мер;
• для принудительного исполнения решения или приговора суда.

Минцифры 25 июня 2018 года издало приказ № 321, в котором разрешало всем банковским организациям сбор биометрических данных клиентов. Как объяснили, это было введено для предотвращения кражи денежных средств с банковских счетов или взлома личных кабинетов граждан.

При этом необходимо знать, что без согласия клиента банк не имеет права собирать и обрабатывать биометрическую, а в случае, если таковое согласие имеется, оно может быть отозвано гражданином в любое время.

Персональные данные детей

Каких-либо особых требований к персональным данным детей федеральный закон №152-ФЗ не содержит. Защита их прав и законных интересов возложена на их родителей или законных представителей.

Тем не менее в законодательстве оговорены определённые требования, касающиеся распространения персональных данных ребёнка. Распространение и разглашение таковых персональных данных запрещено, в случае если ребёнок пострадал от противоправных действий.

Не являются персональными данными

Информация, не позволяющая точно идентифицировать человека, не относится к понятию "персональные данные". Это:

• ник (псевдоним);
• отретушированное фото, на котором нельзя различить лицо и инфе биометрические данные, позволяющие идентифицировать личность;
• изменённый программно голос;
• какие-либо истории, без указания конкретных данных, которые могли произойти с кем угодно.

ВАЖНО: персональные данные должны позволять однозначно идентифицировать личность. Например, Ф.И.О. не будут считаться персональными данными, если будет доказано, что граждан с такими Ф.И.О. несколько.

Сбор персональных данных

Основанием для действий по сбору персональных данных могут быть:

1. согласие субъекта на обработку персональных данных;

2. требования действующего законодательства РФ.

При этом, по сообщению Роскомнадзора, в результате проводимых проверок было установлено, что самой распространённой ошибкой предпринимателей является наличие ошибок в процессе сбора персональных данных. Чаще всего сотрудники Роскомнадзора, фиксировали следующие нарушения:

• отсутствие у предпринимателя согласий сотрудников на обработку персональных данных;
• заявленная цель обработки персональных данных и их объем не соответствуют друг другу;
• форма согласия на обработку персональных данных не соответствует требованиям федерального закона от 27 июля 2006 г. № 152-ФЗ.
  

Поэтому ещё до того, как организация начнёт собирать персональные данные, ей необходимо четко определиться с тем, какова будет цель их обработки. После этого, исходя из цели, определить объем и сроки обработки персональных данных. Для этого необходимо изучить приказ Росархива от 20 декабря 2019 г. № 236.

Если объем собираемых персональных данных будет соответствовать требованиям действующего законодательства, то чаще всего необходимости на получение дополнительных согласий не будет. Исключение в данном случае составляют передача персональных данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговорённые в нормативных актах.

В действующем законодательстве оговорены несколько форм согласий. Это конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). В действующем законодательстве определено, когда и какой вид согласия надо получать. Так, например, необходимо получение письменного согласия при обработке биометрической информации о физическом лице (пп. 1 п. 2 ст. 10 закона № 152-ФЗ), либо при обработке специальных категорий персональных данных (п. 1 ст. 11 закона № 152-ФЗ).

В принципе, каждая форма согласия имеет свои плюсы и свои минусы. Так, конклюдентное согласие, притом что его очень легко получить, в силу отсутствия необходимости подтверждений может быть расценено Роскомнадзором как нарушение требований законодательства. А в случае с письменным согласием, если форма такового разработана в строгом соответствии с действующим законодательством, регулятор не потребует дополнительных доказательств. Однако при этом разработанная согласия должна соответствовать требованиям ч. 4 ст. 9 закона № 152-ФЗ, а для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 закона № 152-ФЗ понятие "цель" указано в единственном числе.

Публикация персональных данных

На любую публикацию персональных данных субъекта необходимо получить его письменное согласие. Однако как это часто бывает, в данном случае, действующее законодательство предусматривает ряд исключений. Так, не требуется согласие субъекта на публикацию его персональных данных в случае:

• необходимости распространения общественно-значимой информации (необходимой для раскрытия угрозы государству, гражданину, окружающей среде);
• осуществления профессиональной деятельности журналиста;
• если персональные данные являются общедоступными, либо сам субъект сделал их таковыми;
• если публикация в соответствии с требованиями законодательства является обязательной (например, размеры доходов чиновников).

Необходимая документация

Для того чтобы сбор, обработка, хранение, уничтожение и передача третьим лицам персональной информации происходила в соответствии с действующим законодательством, оператору ПД (предпринимателю или организации работающим с персональными данными) необходимо подготовить соответствующий набор внутренних документов.

Как видите, список более чем внушительный. И это с учётом, что ряд комплектов документов здесь просто не детализирован. Отсутствие любого из них может служить основанием для Роскомнадзора в случае проведения проверки для наложения соответствующих штрафов.

Поэтому для подготовки полного комплекта лучше обратиться к грамотному юристу. Таким образом вы освободите себя от возможных проблем с регулятором. Ведь, как было сказано выше, проверку регулятор может провести по жалобе субъекта персональных данных или сотрудника компании. А недовольные могут найтись всегда. Причём не всегда недовольство субъекта будет обоснованным. Но чаще всего оно будет приводить к проверкам. И к этому надо быть готовым.

Удачи вам!