Правовая защита персональных данных

Защита персональных данных

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону +7 (499) 288-21-46 (консультация бесплатно), работаем круглосуточно.

Персональные данные (далее — ПДн) — это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. «О персональных данных»).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону +7 (499) 288-21-46 (консультация бесплатно), работаем круглосуточно.

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

Читайте так же:  Судебное разбирательство в отсутствие подсудимого допускается

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей — для физических лиц; от 5000 до 10000 рублей — должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: http://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Правовая защита персональных данных

Защита персональных данных
с помощью DLP-системы

С татья 23 Конституции России утвердила право граждан на неприкосновенность личной жизни и защиту чести и достоинства. А статья 24 установила, что сбор, обработка и передача персональных данных гражданина без его согласия являются незаконными. Всемирная Декларация и Международный пакт о гражданских и политических правах защищает людей от несанкционированного вмешательства в частную жизнь или разглашение сведений из личной корреспонденции. Важно знать, что такое персональные данные, как предупредить их незаконное использование и какая ответственность за подобные деяния предусмотрена по закону.

Персональные данные: что это?

Расшифровку понятия дает ФЗ «О персональных данных». В пункте 1 статьи 3 указанного закона сказано, что персональные данные – это сведения, при помощи которых можно идентифицировать человека или узнать подробности о его жизни. Такие данные включают:

  • полную дату рождения (число, месяц, год);
  • фамилию, имя, отчество;
  • адрес проживания или регистрации;
  • семейное (социальное) положение;
  • уровень дохода;
  • полученное образование;
  • место работы, размер зарплаты и т. д.

Расшифровка персональных данных работника содержится в части 1 статьи 85 ГК России. Это сведения, полученные работодателем в связи с возникновением трудовых отношений, которые касаются определенного сотрудника. Таким образом, закон ограничивает работодателя в объеме обрабатываемых данных работника. Он вправе собирать только те данные, которые касаются трудовых отношений.

Классификация персональных данных

В соответствии с законодательством РФ существует четыре категории персональных данных, подлежащих правовой защите:

Правовая защита личных сведений

Все методы защиты персональных данных условно подразделяют на три разновидности:

  • Нормы, закрепленные в гражданском и трудовом законодательстве, регулирующие отношения между гражданами и государственными служащими, а также сотрудниками и работодателем.
  • Перечень правовых и организационных мер, ограничивающих правомочия работодателя и государственных служащих.
  • Гарантирование права лица на безопасность персональных данных.

Для защиты персональных данных законодатель предусматривает:

  • неоплачиваемый и открытый доступ физического лица к своим персональным данным, предусматривающий копирование сведений, содержащих персональные данные;
  • выбор физического или юридического представителя по защите личных данных;
  • открытость сведений об использовании и распространении персональных данных;
  • требование о внесении поправок в персональные данные, если в них обнаружена ошибка;
  • подача иска в суд при выявлении незаконных действий компании-работодателя или государственных служащих для защиты персональных данных.

Ответственность за несоблюдение требований закона по защите личной информации

Законодательство РФ предусматривает пять видов юридической ответственности за несоблюдение прав граждан по защите сведений, содержащих персональные данные. Это:

  • материальная;
  • административная;
  • дисциплинарная;
  • гражданская;
  • уголовная ответственность.

При этом установлены взыскания не только для граждан, но и для юридических лиц.

Статья 150 ГК России к нематериальным правам, обеспеченным правовой защитой, относит персональную неприкосновенность гражданина и его жилища, а также обеспечение сохранения данных, содержащих личную конфиденциальную информацию. ГК вводит и понятие морального ущерба, который является результатом нравственных или физических противоправных действий, нарушения конфиденциальности персональных данных. Это основание для назначения денежной компенсации причиненного ущерба.

В соответствии с положениями ГК РФ при расчете величины компенсационных выплат суд обращает внимание на:
виновность злоумышленника;

  • причиненный распространением персональных данных вред;
  • персональные особенности лица, пострадавшего от противоправных действий.

Пострадавший вправе обратиться с заявлением в суд для опровержения данных, не соответствующих действительности, которые наносят ущерб его чести и деловой репутации, если ответчик не докажет достоверность таких данных.

Публикация и использование персональных данных в форме фото- и видеоизображений гражданина, картин с его изображением разрешены только после получения согласия на данные действия.

Материальная ответственность за разглашение персональных данных, подлежащих правовой защите, насчитывается в размере причиненного вреда. Данная норма закреплена в пункте 7 статьи 243 Трудового кодекса. Данный случай полной компенсации причиненного ущерба – исключение из правил, подтверждающее главенствующее значение защиты персональных данных.

Дисциплинарная ответственность предполагает увольнение сотрудников, допустивших распространение персональных данных других работников или клиентов организации. Данная норма действует только в случае, когда разглашение персональных данных произошло в результате исполнения нарушителем профессиональных обязанностей. Привлечение к дисциплинарной ответственности за распространение личных данных – право работодателя, а не обязанность. При наложении данного взыскания учитываются:

  • степень вреда, нанесенного разглашением личных данных;
  • обстоятельства совершения данного правонарушения.
Читайте так же:  Родовой сертификат куда отдавать после родов талоны

К сотруднику, виновному в незаконном распространении личных данных, применяются такие дисциплинарные взыскания:

Административная ответственность за незаконное получение, хранение, обработку и распространение персональных данных граждан предусматривает устное предупреждение или штраф для физических лиц в размере 300-500 рублей, для служащих – 500-1 000 рублей и для предприятий – 5 000-10 000 рублей. Данная норма закреплена в статье 13.11 КоАП России.

За распространение личных данных, полученных в результате исполнения трудовых обязанностей, установлен административный штраф от 500 до 1 000 рублей. При привлечении за данное правонарушение служащих сумма штрафа увеличивается – от 4 000 до 5 000 рублей. Данная санкция закреплена в статье 13.14 КоАП.

Уголовная ответственность за нарушение защиты персональных данных закреплена в статье 137 УК России. Несанкционированное получение, хранение и передача данных, представляющих семейную или личную тайну, без согласия гражданина, использование данных сведений в публичных выступлениях или демонстрациях художественных произведений, публикации таких данных в СМИ (средствах массовой информации) караются уголовным штрафом до 200 000 рублей, общественными или исправительными работами или арестом до 4 месяцев. Если данное деяние совершено должностным лицом, сумма штрафа возрастает до 300 000 рублей, а продолжительность ареста – до полугода.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/pravovaya-zashchita-personalnyh-dannyh/

Защита персональных данных

Трудовые отношения невозможны без обмена между их сторонами различной информацией – как о работодателе, так и о работнике.

В первом случае она может касаться местонахождения предприятия, профиля его деятельности, характера выполняемой работы и оплаты за нее.

Что касается информации о работнике, то вся совокупность сведений о нем носит название персональных данных.

Это может быть любая информация — его имя, возраст, пол, профессия, семейное положение и тому подобные сведения, которая закреплена на материальном носителе (чаще всего на бумаге или в электронном варианте).

Принимая человека на работу, работодатель получает в отношении данных о нем как права – на их обработку, так и обязанности – на их защиту.

Важно знать, что именно входит в понятие защиты персональных данных и как она осуществляется на практике.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-59-47 . Это быстро и бесплатно !

Понятие

Защита персональных данных в трудовом праве – это процесс, целью которые является сохранение и предотвращение несанкционированного доступа к такой информации любых посторонних лиц.

Осуществляется этот процесс при помощи различных методов защиты – их конкретный перечень зависит от типа данных и степени их важности.

Чаще всего персональные данные сосредоточены в кадровом отделе предприятия (если такой имеется) или у тех работников, которые в силу своих должностных обязанностей выполняют кадровые функции.

Поэтому именно для таких служб и работников должны быть предусмотрены механизмы защиты информации.

Правовое регулирование этого вопроса

Право каждого работника на защиту его персональных данных от разглашения регламентируется трудовым законодательством. Основной законодательный акт в случае правового регулирования защиты персональных данных – это Трудовой Кодекс.

В 14 главе данного кодекса прописаны требования к обработке персональных данных, ограничения по получаемой информации и ответственность за защиту персональных данных работников.

Помимо права на защиту личных данных, каждый сотрудник также вправе:

  1. Получать сведения о том, какие именно данные есть у работодателя и как осуществляется их обработка.
  2. Получать свободный и бесплатный доступ к своим личным документам и делать их копии.
  3. Вносить изменения или требовать изъятия из базы данных тех сведений о нем, которые являются устаревшими, недостоверными или были получены с нарушением законодательства.
  4. Обжаловать незаконные действия работодателя (в виде письменной жалобы или в судебном порядке), если они связаны с нарушением правил обработки данных.

Еще один нормативный документ, который дает право работнику на защиту персональных данных – это Конституция РФ. В статье 24 о защите персональных данных определено, что собирать такие данные, обрабатывать их и хранить можно только при наличии согласия на это их владельца.

Новые требования относительно сбора и защиты данных о работниках были утверждены федеральным законом «О персональных данных». Также сведения о защите, конкретных способах, с помощью которых она осуществляется и об ответственных за это лицах могут быть установлены при помощи внутренних нормативно-правовых актов предприятия.

Например, это может быть Положение о защите персональных данных предприятия, разработанное и утвержденное в соответствии с федеральным законодательством.

Конкретная мера, а также сумма штрафа или срок ареста зависят от степени вины и от тяжести преступления. Например, к должностному лицу, которое получило персональные данные при помощи своего служебного положения, будет применена более суровая ответственность.

Особенности

Особенностью защиты персональных данных выступает множество спорных моментов возникающихт у работодателя при определении категории «персональные данные» как таковой.

Законодательство, хоть и указывает на некоторые конкретные типы таких данных, все же оставляет возможность дополнить их в соответствии с потребностями предприятия.

Поэтому перед внедрением средств защиты нужно четко определить, какие именно сведения будут ее объектом.

Защита персональных данных работников имеет множество требований и особенностей. Ведь такая необходимость связана не только с законодательными требованиями, но и с рядом других причин:

  1. Информация – ценный ресурс, и ее утечка может быть использована третьими лицами в преступных целях (конкурентами, мошенниками, обиженными сотрудниками).
  2. Развитие информационных технологий и появление множества технических средств предоставили широкое поле деятельности для мошенников – информацию теперь легче скопировать, украсть, повредить или уничтожить.
  3. Влияние человеческого фактора – данные обрабатываются сотрудниками, и это не всегда одни только представители кадровой службы. Некоторые данные получает бухгалтерия или сотрудники сектора делопроизводства. Далеко не все эти люди выполняют требования по неразглашению информации, поэтому данный фактор тоже следует учесть.

При защите данных стоит принимать во внимание все эти особенности и возможные пути утечки информации.

Методы

Защита информации предусматривает внедрение на предприятии определенных методов и способов, при помощи которых она реализуется.

Ее создание включает в себя:

  • проведение анализа предприятия и выявление возможных путей утечки;
  • создание системы регистрации и учета всей документации;
  • внедрение технических и организационных средств защиты.

Важное значение при этом имеют методы защиты персональных данных – это практические приемы и способы, без наличия которых доступ в систему будет доступен для многих посторонних лиц.

Читайте так же:  Вызывает инспектор по делам несовершеннолетних что делать

Проблемы защиты персональных данных в России

Вопросы и законодательные нормы, связанные с правовой защитой персональных данных работников, являются для российских граждан сравнительно новыми, с чем и связано наличие определенных проблем в этой сфере.

Имеется множество правовых и организационных пробелов, которые предстоит восполнить.
Видео (кликните для воспроизведения).

Основная трудность связана с советским наследием, которое не признавало ничего частного и не защищало личные данные работника от вторжения.

Напротив, все сведения о нем (даже те, которые никак не относились к работе), тщательно изучались множеством лиц и не были никак скрыты.

Поэтому переход к защите данных в ТК РФ осуществлялся дольше и тяжелее, чем в ряде западных стран. Некоторые формы кадровых документов до сих пор сохранили в себе устаревшие вопросы.

Еще одна проблема – недостаточность финансирования мероприятий, связанных с защитой данных. Бюджетные предприятия не получают достаточно денежных средств от государства, а частные просто не хотят тратить на все это лишние деньги. Из-за этого отсутствует возможность устанавливать надежные системы защиты информации или создавать специальную службу.

При предоставлении своих данных работодателю часто нарушается законодательство, поскольку работники не знают своих прав и положений закона.

Защита персональных данных – это важное требование, связанное не только с законодательными нормами, но и с коммерческими интересами хозяйственного субъекта.

Неправомерный доступ к таким данным или их утечка может привести ко множеству неприятных последствий – от жалоб со стороны сотрудников до потери деловой репутации предприятия.

Поэтому работодателям не стоит экономить на средствах защиты и относиться к этому вопросу серьезно – в будущем эти затраты оправдают себя.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-59-47 (Москва)
Это быстро и бесплатно !


Источник: http://naim.guru/trudovoe-pravo/sistema/personalnye-dannye/zashita

Обработка персональных данных юридического лица

Защита персональных данных
с помощью DLP-системы

И ногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.


Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо.

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой , в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной , в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной , наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1. изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

Читайте так же:  Ходатайство в суд об отсутствии ответчика

2. включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3. внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4. включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/yuridicheskogo-litsa/

Как работает законодательство в сфере защиты персональных данных

В последние годы проблема защиты персональных данных (ПД) приобрела особенную остроту. Социальными сетями и медиаплатформами пользуется огромное количество пользователей по всему миру, предоставляя свою личную информацию в обмен на возможность присоединиться и воспользоваться определенными услугами. При этом в руках крупных IT-компаний оказываются огромные массивы данных, расшифровав которые можно узнать любые подробности жизни человека.

Когда мы отдаем свои персональные данные, порядочные компании обещают их защищать — к этому их обязывает законодательство. По словам технического директора ООО «ТСС», специализирующегося на информационной безопасности, Ильи Шарапова, защитить персональные данные — не такая уж невыполнимая задача.

Это может быть достигнуто с помощью шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа, утечки информации по техническим каналам (DLP-системы), а также с помощью других технических и организационных мер.

По словам Шарапова, в современном обществе проблема утечек встала остро в связи с несколькими факторами.

«Во-первых, это вызвано халатностью или злым умыслом сотрудников, их некомпетентностью, выполнением требований закона «для галочки», а не по факту (мы сами становились свидетелями того, как в некоторых российских ведомствах и министерствах устанавливались средства НСД, но они не использовались сотрудниками). Наконец, проблема коррупции: сами сотрудники часто торгуют базами данных», — пояснил собеседник «Газеты.Ru».

В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.

В российском законодательстве довольно четко прописана ответственность за нарушение закона о персональных данных. Она включает как административные, гражданско-правовые и дисциплинарные, так и уголовные меры.

Как отмечает специалист по информационной безопасности и генеральный директор «Лаборатории Цифровой Форензики» Александр Мамаев, на бумаге все довольно четко прописано и зафиксировано. Однако даже законодатели зачастую плохо владеют предметом.

«Не так давно председатель Госдумы Вячеслав Володин, например, предложил создать рабочую группу по защите персональных данных. Он заявил: «Это не сворованные хакерами данные, это системы реестра Минфина, Минюста, Минтруда, электронные торговые площадки. Это говорит об отсутствии защиты этих данных, и, в принципе, большая часть информации — она находится в открытом доступе, ее надо найти, систематизировать и использовать». Но, как уже было сказано выше, законы есть, и они четко классифицируют требования и правила использования персданных.

Однако, персональные данные россиян действительно часто утекают в открытые источники, или же становятся предметом купли-продажи. Согласно исследованию компании Dentsu Aegis Network, лишь 29% россиян считают, что их персональные данные защищены в достаточной степени.

В ноябре 2018 года «Лаборатория Касперского» объявила, что «цифровая личность» человека в даркнете продается за $50. Здесь имеются в виду реквизиты банковских карт и счетов, аккаунты в социальных сетях, удаленный доступ к серверам и персональным компьютерам, а также сведения из приложений для знакомств и полный список посещаемых порносайтов.

Согласно данным компании Comparitech, скан паспорта россиянина в даркнете продается за $10-11. Этого порой оказывается достаточно, чтобы оформить счет или кредит на имя жертвы в банке.

По словам Александра Мамаева, рассчитывать на то, что жертвам утечек удастся отсудить существенные компенсации у частных компаний или госорганов, не приходится.

«Один подобный процесс, увенчавшийся успехом, может привести к цепной реакции, когда каждый пользователь, сталкивавшийся с утечкой данных, обратится в суд за компенсацией. Учитывая низкий уровень защиты персданных в России, это может обернуться разорением банков, IT-ритейлеров, сервисов по покупке билетов и т.д. Следом иски можно вчинить и госорганам, которые, несмотря на требования закона, весьма халатно относятся к защите персональных данных россиян. Подобные иски могут очень больно ударить по бюджету страны», — заключил собеседник «Газеты.Ru».

Действующий закон «О персональных данных» позволяет физическим лицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке персональных данных. Основная проблема на пути самостоятельной защиты гражданами своих прав – трудность доказывания размера убытков, а также неготовность судов к присуждению существенных сумм компенсации морального вреда, рассказывает партнер юридической компании 2b law office Антон Городецкий.

«Именно поэтому в России число судебных дел в данной категории исчисляется десятками, что, очевидно, несопоставимо с количеством нарушений в данной сфере», — пояснил Городецкий.

По мнению Антона Городецкого, первая проблема – относительно небольшой размер штрафов. Штрафы для юридических лиц за нарушение порядка обработки персональных данных находятся в диапазоне от 15 000 до 75 000 рублей. Это сумма может быть существенной для небольших компаний, но для крупных игроков рынка персональных данных, зарабатывающих огромные деньги на торговле персональными данными, такие штрафы не могут играть сдерживающей функции.

«Сравните, например, размер наших штрафов, со штрафами, предусмотренными Общим регламентом о защите персональных данных (GDPR), где верхняя граница штрафа составляет 20 миллионов евро, или 4% от мирового оборота компании-нарушителя», — заявил эксперт.

Другая проблема, препятствующая эффективной защите прав субъектов персональных данных (самостоятельной и силами органов государственной власти) – отсутствие физического представительства и какого-либо имущества компаний нарушителей на территории России, что делает невозможным фактическое исполнение принятых судебных актов. В таких случаях у остаётся единственный инструмент – блокировка сайтов компаний-нарушителей, что также не всегда способно достичь цели защиты персональных данных.

Есть несколько прецедентов, когда в России штрафовали крупные иностранные компании. Так, Facebook и Twitter были оштрафованы на 3 тыс. руб. каждая за непредоставление информации о переносе персональных данных российских пользователей в Россию. Обязанность хранить данные граждан РФ на российских серверах появилась у интернет-компаний после вступления в силу закона «О персональных данных» в сентябре 2015 года.

Читайте так же:  Размер госпошлины на право собственности квартиры

При этом официально у Facebook, Twitter и некоторых других компаний Кремниевой долины нет российских юридических лиц и постоянного представительства в России, то есть у них формально нет обязанности отвечать на запросы Роскомнадзора и подчиняться российским законам. В апреле 2019 года АНО «Цифровая экономика», занимающаяся реализацией одноименной программы, выступила с предложением запретить таким компаниям иметь доступ к персональным данным россиян. Одной из причин называются нечестные условия конкуренции зарубежных и российских IT-компаний, так как к последним предъявляются более жесткие требования.

Как следует из документа,

«необходимо избежать ситуации, когда иностранные компании, которые не соблюдают требования законодательства Российской Федерации, устанавливающего ограничения доступа к данным, будут иметь более привилегированное положение по отношению к российским компаниям, которые данные требования соблюдают».

Эта проблема касается и «Яндекса», которым владеет компания, зарегистрированная в Нидерландах. В том числе поэтому в конце июля в Госдуму был также внесен проект об ограничении в 20% на иностранное владение информационными ресурсами, которые будут признаны «значимыми» для России. Этот критерий предлагается оценивать по количеству активных российских пользователей сервиса. Автор законопроекта депутат от «Единой России» Антон Горелкин утверждает, что если ресурс является «значимым», то его основной владелец должен быть зарегистрирован в России.

Впрочем, у «Яндекса» есть зарегистрированное юридическое лицо в России, он обязан соблюдать российское законодательство и подчиняться требованиям Роскомнадзора.

За рубеж руки не дотянутся

В Европейском союзе на страже персональных данных пользователей стоит Общий регламент по защите данных (GDPR), принятый в мае 2018 года. Как объяснил руководитель юридического отдела хостинг-провайдера REG.RU Павел Патрикеев, одна из ключевых особенностей GDPR заключается в том, что действие данных правил применяется к компаниям, обрабатывающим персональные данные резидентов и граждан ЕС и явно нацеленных на такую обработку, независимо от местонахождения такой компании.

Практика привлечения европейских компаний к ответственности за нарушение постепенно формируется: ещё в 2018 году в связи с утечкой данных и нарушением условия о необходимости хранения данных пользователей в зашифрованном виде на 20 тысяч евро была оштрафована немецкая компания Knuddels GmbH & Co KG (компания-владелец немецкого онлайн-чата и сервиса для знакомств Knuddels). За похожее нарушение, связанное с предоставлением недостаточной степени защиты пользовательских данных на случай утечки, на 183 млн фунтов стерлингов была оштрафована и авиакомпания British Airways.

Одним из наиболее крупных примеров привлечения к ответственности не эндемика, иностранной компании по GDPR в настоящий момент является штраф американской компании Google регулятором Франции (CNIL) в размере 50 млн евро за предоставление неполной и непрозрачной информации владельцам ОС Android, а также за ряд иных смежных нарушений в области обработки персональных данных (однако это не единственный случай привлечения к ответственности по GDPR американской компании — так, штрафы по данному Регламенту уже получили Uber и Facebook).

«Как уже было показано выше, факт наличия или отсутствия офиса компании (ее представительства) на территории ЕС не является принципиальным: в GDPR заложен принцип экстерриториальности, а значит предписания могут быть направлены и иностранным организациям, присутствующим в Европе лишь виртуально, но при этом дежурно обрабатывающих данные европейских граждан — примером такого кейса служит предписание британского регулятора по GDPR канадской компании AggregateIQ Data Services», — рассказывает Патрикеев.

Однако, в случае если ни организация-оператор ПД, ни субъект ПД не являются резидентом ЕС, либо не находятся на территории Союза — в таком случае компания не может быть привлечена за нарушение. И уж тем более гражданин не может с ней судиться лично.

В свою очередь, 152-ФЗ имеет ряд существенных отличий от GDPR, одно из которых — требования о локализации баз данных с данными россиян на территории России.

В широком смысле, 152-ФЗ экстерриториального действия не имеет и не распространяется на нерезидентов (лиц, не имеющих официальное присутствие в России), собирающих персональные данные Россиян за границей. Однако, в контексте необходимости локализации данных на территории РФ, значение имеет наличие у иностранной организации целенаправленной деятельности по сбору данных.

Получается, что GDPR является более продвинутой версией 152-ФЗ, позволяя привлекать к ответственности за утечку персональных данных даже те компании, которые не являются резидентами ЕС, но имеют доступ к информации граждан Европейского союза.

«Таким образом, в настоящий момент GDPR представляет собой более совершенный инструмент по привлечению иностранных компаний к ответственности за нарушение национальных требований к обработке персональных данных, так как в нем изначально отсутствует ограничение сферы действия только по национальному принципу (месту инкорпорации компании). Хотя по ряду оснований по 152-ФЗ иностранная компания также может быть привлечена к ответственности за нарушение правил (например, при неисполнении требований о локализации данных), тем не менее 152-ФЗ не предоставляет такого гибкого инструментария субъектам ПД по привлечению иностранных компаний, обрабатывающих их данные за рубежом, к ответственности на территории Российской Федерации», — заключил собеседник «Газеты.Ru».

Что же касается ситуации в США, то защита персональных данных пользователей регулируется отдельными отраслями. Специального федерального закона о ПД на территории страны не существует — его заменяют локальные нормативные акты, зачастую действующие на территории отдельных штатов, и узкоспециальные законы.

Часть работы по защите ПД берет на себя Федеральная торговая комиссия (FTC) США, которая следит за соблюдением ряда законов и соглашений. Так, например, именно FTC оштрафовала социальную сеть Facebook на $5 млрд за скандал с Cambridge Analytica, который привел к утечке личной информации 87 млн пользователей, не дававших согласия на ее использование.

Отсутствие универсального закона по защите ПД в США является существенной проблемой для страны, на чьей территории расположена Кремниевая долина, являющаяся средоточием крупнейших IT-компаний. За принятие в Америке аналога GDPR выступают как законодатели, так и сами резиденты Долины — например, Microsoft и Apple.

В 2018 году Калифорния приняла закон о приватности данных потребителей (California Consumer Privacy Act, или CCPA), который повторяет некоторые принципы GDPR. Этот закон должен вступить в силу уже в 2020 году. Некоторые представители IT-индустрии поддержали инициативу, назвав ее важным шагом на пути к единому федеральному закону по защите персональных данных.

Видео (кликните для воспроизведения).

Источник: http://www.gazeta.ru/tech/2019/08/09_a_12567469.shtml

Правовая защита персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here