Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ — это основной закон о персональных данных в Российской Федерации. Он касается их обработки, хранения и доступа к ним.
Целью указанного закона (ст. 2 Закона № 152-ФЗ) является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не требуется согласие лица, если обработка его персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации (СМИ) либо научной, литературной или иной творческой деятельности (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ).
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением определенных в ч. 2 и ч. 2.1 ст. 10 Закона № 152-ФЗ случаев.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.
ВИДЫ персональных данных
Общие
ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете
Специальные
Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости.
Биометрические
Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото.
Фотография считается биометрическими персональными данными, если служит для идентификации человека.
Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, связанных:с реализацией международных договоров, осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации, а также в случаях, предусмотренных ФЗ РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
Иные
Информация, которую нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Человек право отозвать свое согласие на обработку персональных данных в любое время (п. 2 ст. 9 152-ФЗ). Причину такого решения указывать не нужно.
Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным, а также информацию о том как и сколько будут обрабатываться и храниться данные; как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.
ПОЛОЖЕНИЕ О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Положение о работе с персональными данными должно быть утверждено Приказом руководителя, все сотрудники ознакомлены под роспись. Также в компании должен быть назначен ответственный за работу с персональной информацией. С указанным лицом нужно заключить дополнительное соглашение к трудовому договору, в котором прописаны эти обязанности. Также необходимо определить, у кого из сотрудников будет доступ к персональным сведениями. с указанными сотрудниками достаточно подписать соглашения о неразглашении.
Основным моментом в работе — получение согласия от сотрудников компании на обработку персональных данных, которое должно быть предметным и однозначным и должно содержать следующие сведения:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. Оно должно содержать следующую информацию:
1) фамилия, имя, отчество (при наличии) субъекта персональных данных;
2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
3) сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
сведения об операторе — физическом лице — фамилия, имя, отчество (при наличии), место жительства или место пребывания;
сведения об операторе-гражданине, являющимся индивидуальным предпринимателем, — фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5) цель (цели) обработки персональных данных;
6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
биометрические персональные данные;
7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
9) срок действия согласия.
ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию. Если персональная информация хранится на бумажном носителе, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении.
Факт уничтожения персональных данных нужно подтвердить документами, предусмотренными приказом Роскомнадзора от 28.10.2022 № 179: актом и выпиской. Ликвидацию бумажных и других материальных носителей с ПД фиксируют в акте, который должен содержать сведения по п. 3 приложения к приказу № 179. При обработке данных с использованием средств автоматизации также используется выгрузка из журнала регистрации событий. Оговорено их содержание. Акты и выгрузки хранятся в течение 3 лет.
РЕГИСТРАЦИЯ В КАЧЕСТВЕ ОПЕРАТОРА
Чтобы войти в реестр операторов, осуществляющих персональные данные, нужно:
- Зайти на сайт Роскомнадзора и заполнить форму уведомления;
- Заполнить форму уведомления: выбрать наименование территориального органа, тип оператора, внести данные компании;
- Заполненную форму распечатать, подписать и отправить почтой в территориальный орган Роскомнадзора (сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи/Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА).
- Роскомнадзор вносит Вашей организации реестр операторв, осуществляющих обработку персональных данных примерно в течение 1-1,5 мес. с момента обращения. Выписку из реестра можно будет получить в печатном виде или на сайте Роскомнадзора.
ОТВЕТСТВЕННОСТЬ
В Кодексе Российской Федерации об административных правонарушениях предусмотрена ответственность за нарушение Закона о персональных данных (ст. 13.11):
1.Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных- штраф на граждан в размере от 2 до 6 тысяч рублей; на должностных лиц — от 10 до 20 тысяч рублей; на юридических лиц — от 60 до 100 тысяч рублей. Повторное совершение- штраф на граждан в размере от 4 до 12 тысяч рублей; на должностных лиц — от 20 до 50 тысяч рублей; на индивидуальных предпринимателей — от 50 до 100 тысяч рублей; на юридических лиц — от 100 до 400 тысяч рублей.
2.Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, штраф на граждан в размере от 10 до 15 тысяч рублей; на должностных лиц — от 100 до 300 тысяч рублей; на юридических лиц — от 300 до 700 тысяч рублей. Повторно — на граждан от 15 до 30 тысяч рублей; на должностных лиц — от 300 до 500 тысяч рублей; на индивидуальных предпринимателей — от 500 тысяч до 1 млн. рублей; на юридических лиц — от 1 до 1,5 млн. рублей.
3.Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — штраф на граждан в размере от 1,5 до 3 тысяч рублей; на должностных лиц — от 6 до 12 тысяч рублей; на индивидуальных предпринимателей — от 10 до 20 тысяч рублей; на юридических лиц — от 30 до 60 тысяч рублей.
4. Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — штраф на граждан в размере от 2 до 4 тысяч рублей; на должностных лиц — от 8 до 12 тысяч рублей; на индивидуальных предпринимателей — от 20 до 30 тысяч рублей; на юридических лиц — от 40 до 80 тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — штраф на граждан в размере от 2 до 4 тысяч рублей; на должностных лиц — от 8 до 20 тысяч рублей; на индивидуальных предпринимателей — от 20 до 40 тысяч рублей; на юридических лиц — от 50 до 90 тысяч рублей. Повторно- штраф на граждан в размере от 20 до 30 тысяч рублей; на должностных лиц — от 30 до 50 тысяч рублей; на индивидуальных предпринимателей — от 50 до 100 тысяч рублей; на юридических лиц — от 300 до 500 тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, штраф на граждан в размере от 1,5 до 4 тысяч рублей; на должностных лиц — от 8 до 20 тысяч рублей; на индивидуальных предпринимателей — от 20 до 40 тысяч рублей; на юридических лиц — от 50 до 100 тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет наложение административного штрафа на должностных лиц в размере от 6 до 12 тысяч рублей.
8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, — штраф на граждан в размере от 30 до 50 тысяч рублей; на должностных лиц — от 100 до 200 тысяч рублей; на юридических лиц — от 1 до 6 миллионов рублей. Повторно-на граждан в размере от 50 до 100 тысяч рублей; на должностных лиц — от 500 до 800 тысяч рублей; на юридических лиц — от 6 до 18 миллионов рублей.
За разглашение персональных данных предусмотрена гражданско-правовая ответственность в виде обязанности возместить убытки, а также компенсировать моральный вред (статьи 15, 151, 1082, 1099 — 1101 Гражданского кодекса Российской Федерации, часть 2 статьи 24 Закона № 152-ФЗ).
Помимо административной и гражданско-правовой ответственности оператор обработки персональных данных может быть привлечен к уголовной на основании ст. 137 УК РФ за нарушение неприкосновенности частной жизни. Но если в первом и втором случае к ответственности будет привлечена компания -либо ее должностные лица, то в случае с уголовной ответственностью это может быть только гражданин, например руководитель организации (или иное ответственное лицо). Уголовная ответственность наступает за наиболее тяжкие деяния, которые заключаются не просто в разглашении персональных данных или в их ином незаконном использовании, а в причинении вреда имущественным или личным неимущественным правам субъекта. Например, рассылка личных сообщений, фото или видео гражданина третьим лицам или размещение их во всеобщем доступе.
Логинова Татьяна, юрист