Bancrotstvo.ru

Бизнес Журнал "Банкротство"
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обработка персональных данных без согласия субъекта

Обработка персональных данных без согласия субъекта

В каких случаях допускается передача третьим лицам и иная обработка персональных сведений о субъекте

Перечень ситуаций, когда операторы могут обрабатывать сведения о гражданах, приведен в ст. 6 закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Такие ситуации можно разделить на две большие группы:

  • в интересах конкретного гражданина в случае дачи им письменного разрешения на обработку;
  • без разрешения гражданина (исчерпывающий перечень ситуаций, когда обработка допустима без дачи согласия субъекта, приведен в ч. 1 ст. 6 ФЗ № 152).

Согласно ч. 3 ст. 6 ФЗ № 152 оператор имеет право поручить другим лицам обработку имеющихся у него сведений о гражданах. Данное поручение оформляется в виде договора, в котором должны указываться:

  • цели работы с персональными данными;
  • виды действий, которые можно с ними осуществлять;
  • меры, которые должны быть приняты для защиты сведений от доступа посторонних лиц.

При этом организация, которая будет осуществлять работу с личной информацией по поручению оператора, не обязана получать разрешение от тех граждан, чьи данные обрабатываются. Обязанность получения такого разрешения и согласия на передачу данных для обработки другим лицам (если они необходимы в силу закона) возложена на оператора. Он же и будет нести ответственность перед гражданами за нарушение порядка обработки их личной информации.

Согласие на обработку персональных данных

Гражданин имеет право дать согласие на обработку личной информации любому, например, в целях приобретения товаров, услуг, оказания помощи в трудоустройстве. Согласие должно быть в письменной форме (на бумажном носителе или в виде электронного документа с ЭЦП гражданина). Согласие также может дать и представитель гражданина, например родитель в отношении ребенка.

Перечень сведений, которые должны быть указаны в согласии, закреплен в ч. 4 ст. 9 ФЗ № 152. Так, например, там должны быть:

  • инициалы и паспортные данные гражданина;
  • наименование и адрес оператора;
  • цели обработки данных и перечень действий, которые разрешается совершать оператору с личной информацией;
  • сроки обработки.

При этом если оператор намерен передавать кому-либо эти данные для дальнейшей обработки, то в согласии гражданина должно быть четко указано, какому именно лицу дается разрешение.

Когда согласие на обработку персональных данных не требуется

Исчерпывающий перечень ситуаций, когда работа с личной информацией о россиянах может осуществляться без их согласия, приведен в ч. 1 ст. 6 ФЗ № 152. В частности, если это нужно:

  • для сохранения жизни и здоровья граждан, в случаях если получить согласие невозможно (например, при оказании экстренной медпомощи);
  • осуществления государственного управления и деятельности органов власти;
  • осуществления правосудия, исполнения судебных решений, взыскания с граждан задолженности;
  • выполнения договорных обязательств, если соответствующий гражданин является стороной сделки, выгодоприобретателем, поручителем;
  • научных, исследовательских, статистических целей, при этом обычно данные обезличиваются;
  • в отношении общедоступных личных данных (телефонные справочники, реестры).

Ответственность за нарушения законодательства

За нарушение правил обработки личной информации граждан предусмотрена административная ответственность. В ст. 13.11 КоАП РФ содержится 9 отдельных составов административного правонарушения, которые касаются всего перечня обязанностей оператора в области сбора, хранения, использования и защиты личной информации о гражданах.

Так, например, согласно ч. 2 ст. 13.11 КоАП за сбор и обработку персональных данных без разрешения гражданина (если оно обязательно) на организацию могут наложить штраф от 15 до 70 тысяч рублей.

Также в некоторых случаях виновные в незаконном сборе или распространении личных данных граждан, составляющих их личную либо семейную тайну, могут быть привлечены и к уголовной ответственности по ст. 137 УК РФ. Наказание по ч. 1 данной статьи предусматривает целый набор санкций в диапазоне от штрафа до 200 тысяч рублей и до лишения свободы на срок до 2 лет.

Действующее законодательство четко определяет, когда личные данные можно собирать только с разрешения человека, а когда этого не требуется. Санкции за возможные нарушения серьезные.

Статья 88 ТК РФ. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Комментарии к ст. 88 ТК РФ

1. Работодатель имеет право запрашивать информацию о состоянии здоровья работника только в случаях, если есть обоснованные фактами:

сомнения о возможности выполнения работником трудовой функции;

предположение, что работник не полностью выполняет свои обязанности из-за состояния здоровья;

предположение, что для работника условия труда, в которых он работает, вредны и его нельзя допускать к работе в таких условиях.

2. Согласно комментируемой статье лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Следовательно, в каждой организации необходимо принять положение о конфиденциальности персональных данных.

Читайте так же:
Можно ли парковаться во дворе жилого дома

3. Каждая организация обязана принять локальный нормативный акт — Положение о хранении и использовании персональных данных работников. О содержании Положения см. комментарий к ст. 87 ТК.

4. На территории РФ на каждое застрахованное лицо Пенсионный фонд РФ открывает индивидуальный лицевой счет с постоянным страховым номером, содержащим контрольные разряды, которые позволяют выявлять ошибки, допущенные при использовании этого страхового номера в процессе учета (Федеральный закон от 1 апреля 1996 г. N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

Индивидуальный лицевой счет застрахованного лица состоит из общей, специальной и профессиональной частей (разделов).

В общей части индивидуального лицевого счета застрахованного лица указываются:

1) страховой номер;

2) фамилия, имя, отчество, фамилия, которая была у застрахованного лица при рождении;

3) дата рождения;

4) место рождения;

6) адрес постоянного места жительства;

7) серия и номер паспорта или удостоверения личности, дата выдачи указанных документов, на основании которых в индивидуальный лицевой счет включены сведения, указанные в п. п. 1 — 6, наименование выдавшего их органа;

9) дата регистрации в качестве застрахованного лица;

10) периоды трудовой и (или) иной деятельности, включаемые в страховой стаж для назначения трудовой пенсии, а также страховой стаж, связанный с особыми условиями труда, работой в районах Крайнего Севера и приравненных к ним местностях;

11) иные периоды, засчитываемые в страховой стаж в соответствии со ст. 11 Федерального закона от 17 декабря 2001 г. N 173-ФЗ «О трудовых пенсиях в Российской Федерации»;

12) заработная плата или доход, на которые начислены страховые взносы в соответствии с законодательством РФ;

13) сумма начисленных страхователем данному застрахованному лицу страховых взносов;

14) суммы уплаченных и поступивших за данное застрахованное лицо страховых взносов;

15) сведения о расчетном пенсионном капитале, включая сведения о его индексации;

16) сведения об установлении трудовой пенсии и индексации ее размера, включая страховую часть трудовой пенсии;

17) сведения о закрытии индивидуального лицевого счета застрахованного лица.

В специальной части индивидуального лицевого счета застрахованного лица указываются:

1) суммы страховых взносов, поступивших на накопительную часть трудовой пенсии;

2) сведения о выборе застрахованным лицом инвестиционного портфеля (управляющей компании);

3) сведения, отражающие результаты ежегодной передачи средств пенсионных накоплений на инвестирование управляющим компаниям;

4) сведения, отражающие результаты временного размещения средств пенсионных накоплений в период до отражения их в специальной части индивидуального лицевого счета;

5) сведения, отражающие учет дохода от инвестирования средств пенсионных накоплений;

6) сведения, отражающие учет необходимых расходов на инвестирование средств пенсионных накоплений;

7) сведения о передаче средств пенсионных накоплений от одной управляющей компании другой;

8) сведения о передаче средств пенсионных накоплений в негосударственный пенсионный фонд;

9) сведения о передаче средств пенсионных накоплений из негосударственного пенсионного фонда в Пенсионный фонд РФ;

10) суммы произведенных выплат за счет средств пенсионных накоплений.

В профессиональной части индивидуального лицевого счета застрахованного лица указываются:

1) суммы страховых взносов, дополнительно уплаченных и поступивших за застрахованное лицо, являющееся субъектом профессиональной пенсионной системы;

Политика конфиденциальности

Политика оператора в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ПАО "Банк ВТБ" (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

  • Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;
  • Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
  • Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
  • Обезличивание ПДн — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;
  • Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
  • Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
  • Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
  • Уничтожение ПДн — действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн и (или) результате которых уничтожаются материальные носители ПДн. Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки ПДн в соответствии с ч. 2 ст. 18.1. ФЗ152.

Принципы обработки ПДН

  • законности и справедливой основы;
  • ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки ПДн, несовместимой с целями сбора ПДн;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех ПДн, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
  • недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
  • уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.
Читайте так же:
Можно ли добавить материнский капитал на покупку квартиры без ипотеки

Условия обработки ПДн

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее — общедоступные персональные данные);
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Конфиденциальность ПДн

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Общедоступные источники ПДн

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники ПДн субъектов ПДн, в том числе справочники и адресные книги. В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом ПДн.

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн либо по решению суда.

Специальные категории ПДн

  • субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
  • персональные данные сделаны общедоступными субъектом ПДн;
  • обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
  • обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка ПДн о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта ПДн в письменной форме.

Поручение обработки ПДн другому лицу

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 и настоящей Политикой.

Обработка ПДн граждан Российской Федерации

  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее -исполнение судебного акта);
  • обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн.

Трансграничная передача ПДн

  • наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  • исполнения договора, стороной которого является субъект ПДн.

Согласие субъекта ПДн на обработку его ПДн

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Права субъекта ПДн

Субъект ПДн имеет право на получение у Оператора информации, касающейся обработки его ПДн, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Читайте так же:
Можно ли вписать в приватизированную квартиру человека

Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн. Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн.

Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов ПДн или в судебном порядке. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

Обеспечение безопасности ПДн

  • назначение должностных лиц, ответственных за организацию обработки и защиты ПДн;
  • ограничение состава лиц, допущенных к обработке ПДн;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите ПДн;
  • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
  • определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты ПДн;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программноаппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем ПДн;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

Заключительные положения

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданскоправовую или уголовную ответственность в порядке, установленном федеральными законами.

Адвокатский запрос и защита персональных данных

Из ст.6.1 63-ФЗ следует, что адвокатский запрос представляет собой официальное обращение адвоката в органы власти, различные организации о предоставлении сведений, справок, характеристик и прочих документов, без которых невозможно оказание квалифицированной правовой помощи. Ответ на запрос организации обязаны предоставить в течение 30 суток, а если требуется дополнительное время на сбор сведений, то указанный срок может быть продлен еще на 30 дней.

Если организация или орган власти не предоставит адвокату запрашиваемую информацию, передаст ее в искаженном виде или нарушит установленные сроки, то их ждет административная ответственность по ст.5.39 КоАП. Возможное наказание за нарушение достаточно мягкое – штраф от 5 до 10 тысяч рублей. Однако есть ситуации, при которых организации не обязана предоставлять адвокату запрашиваемые сведения:

  1. Организация не располагает интересующей юриста информацией.
  2. Адвокатский запрос составлен с нарушением закона, либо не соблюден алгоритм его подачи.
  3. Требуемые сведения относятся к информации с ограниченным доступом.

Если с первыми двумя пунктами все понятно, то на третьем стоит остановиться поподробнее. Итак, доступ к информации может быть ограничен в целях необходимости защиты конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности страны. В 149-ФЗ сказано, какая именно информация находится в ограниченном доступе:

  • государственная тайна;
  • коммерческая тайна;
  • профессиональная тайна;
  • служебная тайна;
  • личная тайна;
  • семейная тайна;
  • персональные данные граждан;
  • иная охраняемая законом информация.

«На уровне закона конкретного перечня персональных данных нет, однако такие списки содержатся во многих ведомственных актах (например, в п. 7 Правил обработки персональных данных в Федеральном агентстве научных организаций (Приложение N 1 к приказу Федерального агентства научных организаций от 30.11.15 г. № 42н). Так, к персональным данным относятся ФИО человека, дата и место его рождения, паспортные данные, сведения о семейном положении и даже информация о владении им иностранными языками. Кроме того, в ряде законов содержится прямое указание об отнесение той или иной информации к персональным данным».

По общему правилу, указанные сведения по адвокатскому запросу не предоставляются.

Когда персональные данные по адвокатскому запросу могут быть предоставлены

Согласно ст.7 152-ФЗ, лица, имеющие доступ к персональным данным, обязаны не передавать информацию третьим лицам без согласия на то субъектов персональных данных. Иными словами, если гражданин, предоставивший свои персональные данные, дал такое согласие, то сведения могут быть переданы в рамках адвокатского запроса.

«Практически все операторы, собирающие персональные данные, «добровольно-принудительно» просят граждан поставить свое согласие в графе о согласии на обработку персональных данных (или согласиться с Политикой конфиденциальности, в которой уже содержатся соответствующие положения). Часто без такого согласия физлицо фактически не может зарегистрировать свой сайт, получить кредит в банке или оставить комментарий на форуме. По этой причине, например, через адвокатский запрос вполне возможно узнать администратора доменного имени для последующего обращения в суд».

Что делать гражданину, не желающему, чтобы его персональные данные передавались третьим лицам (в том числе через адвокатский запрос)? Физлицо вправе отозвать свое согласие путем направления соответствующего уведомления в адрес оператора (например, администратора доменного имени и т.д.). Точный адрес для отправки уведомлений, как правило, указывается в Политике конфиденциальности. Оператор, получивший письмо, обязан удалить персональные данные в течение 30 дней. Однако гражданин должен быть готов к тому, что вторая сторона прекратит договорные отношения.

Можно ли сделать частичный отзыв согласия на обработку персональных данных (например, запретить компании только передачу данных третьим лицам или ограничить обработку какой-то определенной информации)? Есть ли возможность защитить бизнес и продолжать получать нужные услуги? На практике многие организации говорят четкое «нет», ссылаясь на то, что без передачи данных другим лицам они не смогут оказывать услуги гражданину. Другие компании допускают такой вариант, предлагая клиенту заключить дополнительное соглашение. Однако, с нашей точки зрения, граждане могут осуществить частичный отзыв согласия на обработку персональных данных.

Читайте так же:
Замена крыши в многоквартирном доме кто несет ответственность

Почему это возможно?

  1. В понятие «обработка персональных данных» включаются такие действия, как сбор, хранение, систематизация, передача информации и т.д. Если гражданину дано право запретить совершение всех указанных действий, то он вправе ограничить и отдельные из них.
  2. В 152-ФЗ не содержится запрета на частичный отзыв согласия на обработку персональных данных.

Есть еще один момент, который заключается в цели обработки персональных данных. Например, во многих типовых согласиях на обработку персональных данных основной целью регистратора доменного имени является выполнение услуг по Договору, заключенному с заказчиком (обслуживание доменного имени, направление уведомлений, обработка заявлений от клиента и т.д.). В приложении к согласию могут быть указаны IT-организации, которым может передаваться информация, и с технической точки зрения без такой передачи регистратор действительно не состоянии осуществлять свою деятельность. Однако, например, передача данных по адвокатскому запросу никаким образом не связана с целью сбора персональных данных регистратором. Следовательно, если гражданин запретит передавать свои данные именно по адвокатским запросам, то регистратор обязан выполнить это требование: прочие действия по обработке персональных данных будут продолжены.

Алгоритм действий будет выглядеть примерно следующим образом:

  1. Подготовьте заявление об отзыве согласия на обработку персональных данных. Если Вы желаете запретить какие-либо конкретные действия – опишите их. Не забудьте сослаться на соответствующие статьи 152-ФЗ. Единого образца заявлений нет, оно составляется в свободной форме.
  2. Удостоверьте заявление у нотариуса, если Вы хотите отправить его почтой. Если Вы будете передавать документ лично, такое удостоверение делать не нужно.
  3. Отправьте документ оператору персональных данных заказным письмом с описью вложения и уведомлением о вручении или передайте в офисе компании.
  4. Если оператор откажется выполнять требования, обозначенные в заявлении, гражданин вправе подать иск в районный суд. Требовать можно не только прекращения обработки персональных данных, но и компенсации морального вреда.

Сайты, передавшие без согласия граждан персональную информацию о них по адвокатскому запросу, могут быть оштрафованы по ст.13.11 КоАП РФ на сумму 75 тысяч рублей. Граждане, пострадавшие от незаконных действий оператора, могут обратиться в суд. Конечно, чаще всего граждане судятся с кредитными учреждениями по поводу предоставления последними персональных данных коллекторским организациям. Однако встречаются ситуации, когда субъекты подают в суд и по причине неправомерной передачи данных по адвокатским запросам.

Приведем пример

Три гражданина обратились в суд с иском к администрации МО Репьевский сельсовет об обязании прекратить передачу и обработку их персональных данных, уничтожении персональных данных граждан и компенсации морального вреда. Было установлено, что сельсовет по адвокатскому запросу предоставил персональные данные из похозяйственной книги о месте проживания истцов. Граждане не предоставляли своего согласия администрации МО Репьевский сельсовет на обработку своих данных.

Также суд обнаружил следующие нарушения:

  • адвокатский запрос не содержал данных о лице, в чьих интересах действует адвокат;
  • администрация предоставила данные о трех гражданах, хотя адвокат запрашивал информацию только на одного субъекта.

По этим причинам иск граждан был удовлетворен: МО Репьевский сельсовет было запрещено обрабатывать и передавать персональные данные третьих лиц. Однако компенсация морального вреда оказалась совсем небольшой: вместо 100 тысяч на каждого истца суд присудил по 1 500 рублей. Если бы граждане представили убедительные доказательства своих моральных страданий, скорее всего, компенсация была бы намного выше.

Итак, как мы видим, адвокатский запрос имеет меньшую юридическую значимость, чем, например, запрос правоохранительных органов. И поэтому у гражданина есть реальная возможность сохранить свои персональные данные в тайне. Однако каждая ситуация сугубо индивидуальна, поэтому если Вы хотите узнать, как можно защитить собственную личную информацию, — посоветуйтесь с опытным уголовным адвокатом.

Передача персональных данных третьим лицам с согласия субъекта

ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федерального закона от 23.07.2013 № 205-ФЗ)


Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Читайте так же:
Как продать дом с долгами по жкх

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector