Персональные данные контрагента

Персональные данные контрагента

Дата публикации 09.12.2019

Наша организация является поставщиком товара. Для заключения договора поставки организация-контрагент запрашивает пакет документов, включающий копию паспорта нашего руководителя, а также его согласие на обработку персональных данных. Должны ли мы направлять контрагенту копию паспорта директора и обязательно ли получать согласие директора на обработку персональных данных?

Организация не обязана предоставлять контрагенту персональные данные ее руководителя для заключения договора. Если эта информация была предоставлена контрагенту, то дополнительное согласие директора на обработку персональных данных получать не нужно. Тем не менее такое согласие может обезопасить контрагента от возможных претензий со стороны субъекта персональных данных в будущем.

Объясняется это следующим.

Обработка (включая сбор) персональных данных может осуществляться только с согласия субъекта персональных данных. Исключение составляют случаи, когда персональные данные обрабатываются с целью осуществления прав и законных интересов оператора обработки персональных данных или третьих лиц (п. 3 ст. 3, пп. 1, 7 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Кроме того, согласно пп. 5 ст. 6 того же договора обрабатывать персональные данные без согласия субъекта можно для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Также это возможно для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет выгодоприобретателем или поручителем.

Эти нормы позволяют сделать вывод, что сбор и обработка персональных данных руководителя организации, с которой другая компания планирует заключить договор, могут осуществляться без его дополнительного согласия (при условии, что эти персональные данные будут использоваться только для исполнения заключенного договора). Тем не менее контрагент может попросить написать такое согласие, чтобы обезопасить себя от возможных претензий со стороны субъекта персональных данных в будущем.

Отметим также, что действующее законодательство не обязывает организации предоставлять потенциальным контрагентам перед заключением договора какие-либо сведения, документы и информацию, в т.ч. персональные данные руководителя и (или) иных лиц. В силу п. 1 ст. 421 ГК РФ граждане и юридические лица свободны в заключении договора. Понуждение к заключению договора не допускается, за исключением случаев, когда обязанность заключить договор предусмотрена законом или добровольно принятым обязательством. Поэтому организация-поставщик не обязана представлять персональные данные руководителя и иную информацию, если ранее добровольно не принимала на себя соответствующего обязательства. Данные предоставляются контрагенту только на добровольной основе.

Источник: http://its.1c.ru/db/content/answersstaff/src/%EA%E0%E4%F0%FB/191209_%EF%E5%F0%F1%E4%E0%ED%ED%FB%E5_%E4%E8%F0%E5%EA%F2%EE%F0%E0.htm

Обработка персональных данных контрагентов

Вопрос : Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных ?

Вопрос : Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных ?

Ответ юриста:

Обработка персональных данных контрагентов — физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров ( купли-продажи, подряда, оказания услуг и пр.).

Правовое обоснование:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).

Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними.

При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке персональных данных.

Случаи, при которых допускается обработка персональных данных без согласия субъекта таких данных, исчерпывающим образом установлены ст. 6 Закона N 152-ФЗ.

Так, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицо, которому предоставляется возможность обработки персональных данных, является стороной по указанному договору.

В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных (далее — уполномоченный орган) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ.

Так, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Читайте так же:  Протокол ликвидационной комиссии о распределении имущества

Таким образом, обработка персональных данных контрагентов — физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).

Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

Несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта персональных данных на обработку и уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

Правовая информация приведена по состоянию на дату консультации — 02.12.2013

Источник: http://parma-legal.ru/nashi-konsultatcii/2014-05-20/obrabotka-personalnykh-dannykh-kontragentov

Обработка персональных данных юридического лица

Защита персональных данных
с помощью DLP-системы

И ногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой , в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной , в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной , наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.
Читайте так же:  Порядок обжалования частного определения суда

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1. изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2. включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3. внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4. включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.


Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Персональные данные контрагента

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Организация сдает в аренду торговые места индивидуальным предпринимателям и юридическим лицам. При этом при оформлении договора аренды индивидуальными предпринимателями используются персональные данные. На основании запроса персональные данные (Ф.И.О., место прописки, ИНН, ОГРН, сведения о договорах и арендуемых местах) передаются в налоговый орган.
Должна ли организация получать согласие контрагента — физического лица, являющегося индивидуальным предпринимателем, на обработку и передачу его персональных данных? Должна ли организация направлять уведомление об обработке персональных данных в уполномоченный орган?

Рассмотрев вопрос, мы пришли к следующему выводу:
Предоставление организацией налоговому органу сведений о контрагенте — физическом лице, являющемся индивидуальным предпринимателем, не влечет необходимости получения от него согласия на обработку его персональных данных.
У организации также отсутствует необходимость в направлении уведомления об обработке персональных данных в уполномоченный орган.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Котыло Игорь

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Королева Елена

20 декабря 2011 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/business/375464/

Персональные данные контрагента

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Часто при участии в тендере контрагент запрашивает информацию по цепочке собственников (в том числе включая конечных бенефициаров). Зачастую данная информация может содержать персональные данные (фамилию и имя) гражданина РФ или иностранного гражданина.
Обоснованно ли требование контрагента? Необходимо ли в соответствии с требованиями законодательства о персональных данных запрашивать согласие на обработку (передачу) персональных данных у физических лиц?

Видео (кликните для воспроизведения).

Рассмотрев вопрос, мы пришли к следующему выводу:
При осуществлении закупки на основании Закона N 44-ФЗ заказчик не вправе требовать от участника закупки предоставления персональных данных его выгодоприобретателей.
В рамках закупки на основании Закона N 223-ФЗ такое требование возможно, если оно соответствует положению и документации о закупке. Согласие бенефициара на передачу его персональных данных заказчику не требуется, если соответствующие данные в соответствии с федеральным законом подлежат опубликованию, обязательному раскрытию или на законных основаниях содержатся в общедоступных источниках.
При заключении договора, не подпадающего под действие Закона N 44-ФЗ или Закона N 223-ФЗ, просьба потенциального контрагента предоставить сведения о бенефициарах другой стороны не нарушает какую-либо норму законодательства.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Акимочкин Дмитрий

Ответ прошел контроль качества

20 февраля 2017 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Отметим, что Минэкономразвития России подготовлен проект федерального закона, которым предлагается закрепить обязанность заказчиков при осуществлении закупок на основании Закона N 223-ФЗ устанавливать требование об отсутствии конфликта интересов.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Читайте так же:  Основания и условия предъявления негаторного иска

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/civil_law/1098364/

Работа с персональными данными клиентов

«Кадровая служба и управление персоналом предприятия», 2015, N 3

Порядок работы с персональными данными клиентов во многом сходен с порядком работы с персональными данными сотрудников. Его мы рассмотрели в прошлом номере. Однако в работе с персональными данными клиентов есть несколько особенностей, о которых должны знать кадровики.

Кадровым службам (особенно небольших и средних компаний) зачастую приходится работать с персональными данными не только сотрудников, но и клиентов. Прежде всего это касается компаний, продающих товары (выполняющих работы, оказывающих услуги) физическим лицам. Но и компании, работающие в секторе B2B, тоже нередко сталкиваются с персональными данными. Это, к примеру, персональные данные контактных лиц в организациях-контрагентах, физических лиц — консультантов, фрилансеров, иных граждан, которые не являются работниками компании, но оказывают ей услуги (например, врачи для фармацевтических компаний, авторы в журналах, рекрутеры в кадровых агентствах и т.д.).

Примечание. См. статью о работе с персональными данными работников на с. 10 журнала N 2, 2015.

Согласие и уведомление граждан

Начнем с того, что согласие физического лица на предоставление и обработку персональных данных (ПД) является обязательным (ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», далее — Закон N 152-ФЗ). Причем оно может быть получено только в письменной форме.

Форма письменного согласия законодательством не оговаривается, поэтому компания может использовать собственную, однако в ч. 4 ст. 9 (Закона N 152-ФЗ) предусмотрены сведения, которые должны быть отражены в нем.

Примечание. Форму согласия и требования к его содержанию смотрите на с. 18 — 19 журнала N 2, 2015.

Судебная практика. Если клиенты заказывают товары или услуги, заполняя анкету на сайте в электронном виде, содержащую сведения о персональных данных, то отдельного согласия на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, т.е. при обработке персональных данных письменное согласие считается полученным (Постановление Федерального арбитражного суда Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009).

В отличие от трудовых отношений, когда работник чаще всего лично предоставляет свои ПД, с данными клиентов может возникнуть ситуация, когда сведения будут получены не напрямую, а от других операторов (например, если компания обращается к юридической фирме для ведения судебного дела в отношении клиента — физического лица).

Для таких случаев ст. 18 Закона N 152-ФЗ предусматривает следующее правило. Если персональные данные получены не от субъекта ПД, то до начала их обработки оператор обязан предоставить субъекту ПД следующую информацию:

  • наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законом права субъекта персональных данных;
  • источник получения персональных данных.

Форма и порядок такого уведомления законодательством не предусмотрены, однако информировать субъекта персональных данных необходимо так, чтобы впоследствии была возможность представить в суд доказательства подобного информирования. Потому лучше, если оператор вручит эту информацию субъекту ПД под личную подпись или отправит письмо почтой с уведомлением и описью вложения, а также сохранит почтовые документы.

Судебная практика. Истица обратилась в суд с иском к ряду компаний о признании незаконными действий по передаче и обработке ее персональных данных и взыскании компенсации морального вреда. В обоснование заявленных требований она указала, что между ней и банком был заключен потребительский кредитный договор. В ходе его исполнения банк без согласия передал ее персональные данные ответчикам, от которых в дальнейшем в адрес истицы поступали требования о погашении просроченной задолженности. Суд иск удовлетворил исходя из того, что в нарушение требований закона ей до начала обработки персональных данных не была предоставлена информация об операторе, целях обработки, правовом основании, предполагаемых пользователях (Апелляционное определение Тульского областного суда от 13.02.2014 по делу N 33-372).

Отзыв согласия

Согласно ч. 2 ст. 9 Закона N 152-ФЗ субъект ПД (клиент компании) вправе отозвать согласие на обработку ПД. Специальная форма такого отзыва законодательством не предусмотрена.

Отзыв может быть составлен по образцу, приведенному в примере 1.

Пример 1. Отзыв согласия на обработку персональных данных.

Кстати, ч. 2 ст. 9 Закона N 152-ФЗ предусматривает случаи, когда оператор может продолжить обработку ПД и без согласия клиента. Например, обработка ПД необходима для:

  • достижения целей, предусмотренных законодательством;
  • исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является клиент;
  • защиты жизни, здоровья, если получение согласия субъекта персональных данных невозможно;
  • осуществления деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности и пр.

Судебная практика подтверждает, что согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора.

Судебная практика. Суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив ПД должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (Кассационное определение Омского областного суда от 10.11.2010 N 33-7056 (2010 г.)).

Читайте так же:  Медицинское заключение для академического отпуска

Организовываем работу

Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 — 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Примечание. См. статью «Устанавливаем режим коммерческой тайны» на с. 11 журнала N 11, 2014.

Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта. Но, учитывая, что согласно ч. 2 ст. 18.1 Закона N 152-ФЗ оператор при работе с клиентами обязан опубликовать или иным образом обеспечить неограниченный доступ к положению о защите персональных данных, целесообразнее разделить положение на два отдельных документа (для работников и клиентов). Ведь далеко не любая компания захочет обнародовать порядок работы с ПД работников.

Мнение. Станислав Валуев, юрист правового бюро «Олевинский, Буюкян и партнеры»

К сожалению, от риска незаконного использования персональных данных не застрахован никто. Защищать их можно любыми способами, при этом выполняя требования Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Эффективность защиты персональных данных клиентов во многом зависит от правильной организации работы сотрудников, которые взаимодействуют с базой персональной информации. Строгий контроль за доступом и использованием персональных данных клиентов максимально оградит эти сведения от использования нечистоплотными сотрудниками в личных целях. Самое важное, на мой взгляд, — выстроить работу сотрудников таким образом, чтобы ответственность за нарушение норм Закона наступала неотвратимо. Руководителям организаций, работающих с персональными данными клиентов, посоветовал бы обязательно разрабатывать положение о защите персональных данных клиентов, где указывать, что каждый сотрудник, получающий для работы персональные данные клиента, несет ответственность за конфиденциальность информации.

До передачи персональных данных иным лицам компания должна запросить у клиента согласие на их передачу. Законодательством не предусмотрена форма такого запроса; он может быть таким, как указано в примере 2.

Пример 2. Запрос согласия субъекта персональных данных на распространение персональных данных.

Кстати, далеко не каждое действие будет считаться передачей данных или даже разглашением ПД. Примеры можно найти в судебной практике.

Судебная практика. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.

Уведомление Роскомнадзора

В отличие от оператора, работающего с персональными данными сотрудников, оператор, работающий с персональными данными клиентов, до начала обработки персональных данных обязан уведомить Роскомнадзор (ст. 22 Закона N 152-ФЗ).

Порядок представления уведомлений регулируется Административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным Приказом Минкомсвязи России от 21.12.2011 N 346 (далее — Регламент).

Есть несколько исключений, когда компании, работающие с персональными данными клиентов, не должны направлять уведомления в Роскомнадзор (ч. 2 ст. 22 Закона N 152-ФЗ). Например:

  • если ПД получены в связи с заключением договора при условии, что данные не распространяются и не предоставляются третьим лицам без согласия и используются исключительно для исполнения указанного договора;
  • сделаны субъектом персональных данных общедоступными (справочники, адресные книги и т.д.);
  • включают в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или аналогичных целей;
  • обрабатываются без использования средств автоматизации (т.е. при работе с данными не используются вычислительная техника, компьютеры) и пр.

Если перечисленные случаи не относятся к деятельности компании, то она направляет уведомление в территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона N 152-ФЗ). Форма установлена Регламентом (Приложение N 2). Его можно подать не только в бумажном варианте, но и в электронном виде через сайт Роскомнадзора (ч. 3 ст. 22 Закона N 152-ФЗ).

См. Портал персональных данных Уполномоченного органа по защите персональных данных // http://pd.rkn.gov.ru/operators-registry/notification/form.

В течение 30 дней с даты поступления уведомления управление Роскомнадзора вносит сведения, содержащиеся в уведомлении, в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). На основании приказа руководителя уполномоченного органа в реестр вносится запись об операторе. Информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора.

Читайте так же:  Сколько стоит генеральная доверенность в казахстане

Ответственность оператора при работе с персональными данными клиентов практически аналогична ответственности работодателя, описанной в прошлом номере журнала. Единственное — нужно учитывать ст. 13.14 КоАП РФ, согласно которой за разглашение информации, доступ к которой ограничен федеральным законом, в том числе ПД граждан, лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на должностных лиц компании от 4000 до 5000 руб.

Источник: http://wiseeconomist.ru/poleznoe/99978-rabota-personalnymi-dannymi-klientov

Персональные данные контрагента

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Организация заключает договор на поставку и оказание услуг с физическими лицами (в том числе физическими лицами, являющимися ИП), при этом клиенты представляют свои персональные данные: фамилию, имя, отчество, адрес проживания, адрес регистрации, паспортные данные, данные об ИНН и из пенсионного свидетельства.
Следует ли организации брать со своих контрагентов — физических лиц письменное согласие на обработку персональных данных?

Рассмотрев вопрос, мы пришли к следующему выводу:

Обработка персональных данных контрагентов — физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

Обоснование вывода:

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными (далее — ПДн) является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ). Оператором ПДн, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. При этом лицо признается оператором ПДн вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке ПДн.

Следовательно, Ваша организация в рассматриваемом случае является оператором ПДн.

Случаи, при которых допускается обработка ПДн без согласия субъекта таких данных, установлены ст. 6 Закона N 152-ФЗ. Причем установлены они исчерпывающим образом. Так, например, допускается обработка ПДн, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицом, которому предоставляется возможность обработки ПДн, является стороной по указанному договору. В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки ПДн операторы обязаны уведомить уполномоченный орган по защите прав субъектов ПДн (далее — уполномоченный орган) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ. Так, уведомлять уполномоченный орган не нужно, если ПДн получены оператором в связи с заключением договора, стороной которого является субъект ПДн, при том, что ПДн не распространяются, не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).

Таким образом, обработка ПДн контрагентов — физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг), может осуществляться без согласия на обработку ПДн и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта ПДн и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687). Если же организация намерена осуществлять обработку ПДн в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку ПДн.

Отметим, несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта ПДн на обработку и уведомлять Роскомнадзор о работе с ПДн, это не освобождает его от необходимости применения мер по защите ПДн. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).

Эксперт службы Правового консалтинга ГАРАНТ

Ответ прошел контроль качества

30 октября 2013 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Видео (кликните для воспроизведения).

Источник: http://www.garant.ru/consult/business/506275/

Персональные данные контрагента
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here