Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Что меняется в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
О необходимости оформлять согласие на передачу персональных данных для обработки третьим лицам говорит не только закон «О персональных данных», но и Трудовой кодекс, который в ст. 88 прямо требует у работодателя оформить письменное согласие в любых случаях предоставления данных третьим лицам, за исключением ситуаций, когда ПД необходимо передать для предотвращения угрозы жизни или здоровью сотрудника. Согласие обязательно потребуется, если данные передаются с целью реализации коммерческих интересов работодателя. Оно не нужно, если сведения передаются в социальные фонды, налоговую, службу государственной статистики, службу занятости или федеральную инспекцию по надзору в сфере трудового законодательства.
Как оформить согласие на передачу ПД третьим лицам
Закон прямо не требует от оператора указания в согласии всех третьих лиц, которым он предполагает передать сведения на обработку. Но если у гражданина есть сомнения в правомерности такой передачи и соответствии цели обработки передаваемых ПД закону, он всегда вправе отозвать свое согласие, вынудив оператора обратиться к агенту с требованием уничтожить данные. Отказ от выполнения этой обязанности можно обжаловать Роскомнадзоре, и тогда оператор будет оштрафован в рамках ст. 13.11 КоАП РФ.
Обязательное оформление согласия на передачу персональных данных для обработки третьим лицам становится задачей оператора, его отсутствие приведет к негативным последствиям. Права субъектов персональных данных должны соблюдаться всеми операторами.
Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.
Кроме того, широкое распространение получили сервисы в Интернете, занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных. Это адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т. п. Всё это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией РФ, но и создает реальную угрозу для преступлений и правонарушений. В том числе мошенничества с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т. п.
Вдобавок законодательство никак не ограничивало выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время такие сведения – тоже персональные данные, нуждающиеся в соответствующей защищенности.
Подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространялись требования российского законодательства о персональных данных. При этом законодательство практически не регулировало трансграничную передачу персональных данных, что также создавало существенную угрозу.
Изменения в Законе о персданных
По новым правилам нормы Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку. Другими словами – независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).
Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:
- трансграничной передачи персональных данных;
- обработки специальных категорий данных (например, состояние здоровья человека);
- биометрических данных;
- персональных данных несовершеннолетних лиц;
- а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.
У ведомства по закону будет 30 дней на согласование проекта документа.
Чаще всего неосознанно передаются данные, под собой подразумевающие банковские сведения, изначально не предназначающиеся для огласки, что уже трактуются ч. 2 ст. 183 УК РФ «О незаконном разглашении сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца…». При получении кредита или, участвуя в каких-либо других финансовых сделках, необходимо согласие человека, чью кредитную историю планируется проверить. Иначе проверка данных не будет юридически правовой, и может создать угрозу интересам вкладчиков и кредиторов. Клиент банка не может, придя в соответствующий отдел или находясь на приеме у консультанта, «автоматически» давать согласие на систематизацию, сбор, распространение и передачу третьим лицам персональных данных. Для этого существует специальный документ – согласие, которое предоставляется на подпись, прежде чем отправить в базу какие-либо сведения клиента.
Может ли оператор связи требовать персональные данные работников, пользующихся корпоративной связью (и на каком основании)?
В адрес организации поступил запрос от оператора связи о предоставлении персональных данных работников, использующих телефонные аппараты только в рабочее время на рабочих местах. С оператором заключен договор от имени юридического лица, представлены документы, подтверждающие право подписи руководителя и другие, необходимые для заключения договора.
Рассмотрев вопрос, мы пришли к следующему выводу:
Юридические лица обязаны предоставлять операторам связи персональные данные работников, которые пользуются корпоративной связью, в сроки и в объеме, предусмотренными Правилами оказания услуг телефонной связи.
В противном случае оператор связи имеет право приостановить оказание услуг связи до устранения нарушения, а при неустранении такого нарушения в установленный срок в одностороннем порядке расторгнуть договор об оказании услуг связи.
Прежде всего отметим, что ст. 88 ТК РФ возлагает на работодателя обязанность не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами, одним из которых является Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ).
По общему правилу, сформулированному в п. 1 ч. 1 ст. 6 Закона N 152-ФЗ, обработка персональных данных может осуществляться с согласия субъекта персональных данных. Однако при наличии оснований, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ, согласие субъекта персональных данных не требуется.
Так, обработка персональных данных без согласия субъекта допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ).
На наш взгляд, употребление законодателем в приведенной норме сочетания «законодательство РФ» означает, что соответствующие полномочия и обязанности могут быть установлены не только федеральными законами, но и подзаконными нормативно-правовыми актами.
Следовательно, если обязанность передавать в распоряжение третьего лица персональные данные работников предписана действующим законодательством РФ, то согласия работников на такую обработку конфиденциальной информации не требуется.
Как следует из п. 2 ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ «О связи» (далее — Закон N 126-ФЗ), взаимоотношения пользователей услугами связи и операторов связи при заключении и исполнении договора об оказании услуг связи регулируются правилами оказания услуг связи, утверждаемыми Правительством РФ.
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Когда и зачем нужно согласие на обработку персональных данных
Согласие на обработку персональных данных в интернете потребуется для исполнения условий договора между клиентом (пользователем, чьи персональные данные интересуют) и сервисом (которым пользуется клиент). Например, интернет-магазину (сервису) требуется адрес заказчика (клиента), чтобы доставить заказанный товар и провести операцию по оплате при безналичном или даже при наличном расчете. Также персональные данные клиента используют для рассылки информационных и рекламных объявлений по согласию клиента.
Необходимо учесть, что в понятие «обработка данных» включают сбор, систематизацию, сохранение, накопление, применение, уточнение/изменение, запись, извлечение, передачу и даже обезличивание, удаление из системы и полное уничтожение информации о клиенте. Поэтому интернет-сервису, не относящемуся к муниципальным или государственным учреждениям, необходимо взять согласие клиента на любые действия с персональными данными. Третьим лицам сведения передаются в ситуациях, указанных в законодательстве РФ. Регулируется это федеральным законом «О персональных данных» (N 152-ФЗ).
Соглашения на обработку персональных данных на разных интернет-ресурсах
Как правило, в интернете используются схожие пользовательские соглашения, в которые включен пункт о согласии на обрабатывание сведений.
Однако формулировки, обозначения, количество статей и пр. различаются в зависимости от ресурса, на котором заключается то или иное соглашение.
Оформляем согласие работников на передачу их персональных данных третьему лицу
Универсальной функцией любого представителя работников в сфере трудовых отношений является функция участия в коллективных переговорах по заключению коллективного договора, соглашения. Универсальной информацией, которая должна быть передана представителям работников, выступает информация, необходимая для ведения коллективных переговоров. Профсоюз как представитель работников может исполнять и особые социальные функции, определяемые его уставом.
Для исполнения этих функций профсоюз должен обладать, в частности, информацией о круге иждивенцев работника, о необходимости специализированного лечения работника и т. п. Поскольку предоставление такой информации, в отличие от информации, необходимой для ведения коллективных переговоров, не обусловлено конкретным федеральным законом, она представляется с письменного согласия работника.
Подотчетным станет сбор персональных данных:
- в ходе трудовых отношений,
- при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
- уже упомянутых ФИО,
- даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
- для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).
Персональные данные лица относятся к охраняемой законом тайне. Любое их распространение будет считаться нарушением действующего законодательства. Дело может дойти до возбуждения уголовного дела.
Согласие является обязательным документом при трудоустройстве, так как сотруднику отдела кадров придётся взаимодействовать с личными данными соискателя на должность. Все необходимые для заключения трудового договора документы перечислены в статье 65 Трудового кодекса. Согласие среди них не фигурирует, однако предполагается.
На каждом без исключения предприятии имеется ответственный за обработку персональных данных сотрудник. Как правило, это начальник кадровой службы. Если работник их разгласит, его будет ждать уголовная ответственность в соответствии со статьей 137 УК РФ.
Оформляем согласие работников на передачу их персональных данных третьему лицу
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной. Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Ответственность за разглашение персональных данных по статье 137 УК РФ
Разглашение персональных данных 137 УК РФ при определенных условиях дает возможность признать основанием для привлечения человека к уголовной ответственности. В нашей статье будут рассмотрены условия возникновения этой ответственности, в том числе в отношении лиц, имевших в силу служебного положения доступ к таким данным и разгласивших их.
- Что такое персональные данные
- Разглашение персональных данных. Объект и предмет преступления
- Разглашение каких персональных данных уголовно наказуемо (судебная практика)
- Статья о распространении персональных данных, характеристика деяния
- Субъективные признаки разглашения персональных данных
- Ответственность за разглашение персональных данных гражданина, виды и размеры наказаний
Когда чаще всего требуется согласие
Учебные, медицинские, государственные и другие учреждения достаточно часто просят личную информацию с разрешением на ее обработку. Наиболее часто она запрашивается:
- при трудоустройстве;
- при оформлении ребенка в школьное или дошкольное учреждение;
- при составлении договора финансовой или страховой организацией.
Разрешение использовать информацию обязан получить каждый оператор. Но закон предусматривает исключения при определенных обстоятельствах:
- При сборе информации федеральными службами;
- Для оказания государственных услуг;
- Для судебных разбирательств;
- Для защиты прав гражданина, когда нет возможности получить его согласия;
- Для защиты прав третьих лиц;
- Журналистам разрешено использовать некоторые данные без согласия гражданина;
- Если на законном основании открытые данные стали доступны, их также можно использовать без разрешения.
Во многих других ситуациях разрешение − необходимое условие для использования информации. При этом каждый гражданин, подтверждая такой документ, должен иметь представление о том, в каких целях будет использоваться информация. Например, если после покупки магазин просит вашего разрешения, чтобы оповещать об акциях, это четко должно быть сформулировано.