Что относится к персональным данным и как с ними работать законно?

Опубликовано: Подсказки бухгалтеру
Персональные данные клиентов: всё о правилах хранения и обработки

Сбор, хранение и обработка персональных данных

При необходимости получения персональных данных сотрудника или другого физического лица организация вправе собирать ее непосредственно у самого субъекта. Если же информацию можно получить только у третьих лиц, то субъект должен быть обязательно извещен, а также обязан дать свое письменное согласие на данную процедуру. В свою очередь, оператор обязан известить гражданина о целях, которые он преследует при получении и обработке его личных данных.

Все, что касается законных оснований обработки персональной информации, прописано в главе 2 статье 6 пункте 1 № 152 Федерального закона «О персональных данных»:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Если организация осуществляет обработку персональных данных, противоречащую вышеуказанным пунктам, то это является нарушением федерального законодательства.

Организация обязана обеспечить конфиденциальность, имеющихся персональных данных согласно статье 7 Федерального закона «О персональных данных». Исключения составляют те случаи, когда персональные данные обезличены или когда они являются общедоступными.
В статье 8 указано, что могут быть общедоступные источники персональных данных. Они могут содержать фамилию, имя, отчество, страну и год рождения, адрес проживания, номер телефона, информацию о профессии или же другие персональные данные субъекта, которые он предоставляет со своего письменного согласия. К ним относятся, например, справочники или адресные книги. Данные сведения могут быть лишены доступности по решению субъекта или государственных уполномоченных органов.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Какие сведения являются такой информацией?

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:

  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

    Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;– в целях осуществления учета и контроля в системе обязательного социального страхования.

Как осуществляется эта работа в организации?

До этого нужно будет разработать регламенты и форму пользовательского соглашения. В них обычно пишется, что если пользователь зарегистрируется на сайте или заполнит заявку — эти действия будут считаться согласием на обработку его данных.

Покупатели обычно передают на сайт:

  • Ф.И.О;
  • дата рождения;
  • реквизиты платежной карты;
  • контактный телефон;
  • личные фотографии (иногда);
  • личный адрес.

Внимание! Если магазин собирается передавать данные покупателей третьим лицам, то это можно делать только в целях исполнения пользовательского соглашения (например, раскрывать сведения службе доставки, которая будет заниматься перевозом купленного товара).

Если же цели иные, то на это требуется отдельное согласие пользователя.

Владельцу сайта нужно разработать Политику в отношении обработки данных и опубликовать ее. Необходимо также указать электронный адрес, куда стоит обращаться с тем, чтобы его сведения были удалены. Придется также заключить соглашение об обеспечении безопасности, в котором будет указано, что будет обрабатываться и в каких целях.

  • Скачать бланк Соглашения на обработку персональных данных
  • Скачать образец Соглашения на обработку персональных данных

Согласие на обработку и распространение персональных данных работника

Одним из условий обработки персональных данных работников является получение работодателем согласия работников на это (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). При этом закон выделяет ряд случаев, когда согласие не является обязательным.

Согласий на обработку персональных данных может быть два

С 1 марта 2021 года в закон введено новое понятие – «Персональные данные, разрешенные для распространения». Речь идет о случаях, когда персональные данные распространяются оператором среди неограниченного круга лиц, например, при их размещении на сайте, в СМИ, других общедоступных ресурсах.

Раньше оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персональных данных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение, ст. 10.1 Закона № 152-ФЗ). Таким образом, для обработки и распространения персональных данных работника нужно получить у него:

  • согласие на обработку персональных данных (если персональные данные не планируется распространять среди неограниченного круга лиц);
  • согласие на распространение персональных данных (если планируется распространять данные среди неограниченного круга лиц).

Оба вида согласий могут быть получены у работника как по отдельности, так и вместе.

Когда согласие на обработку персональных данных не требуется

Работодатель может осуществлять обработку персональных данных работника без его согласия:

  • для осуществления оператором (работодателем) обязанностей, возложенных на него законом (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Речь идет об обязанности работодателя предоставлять персональные данные работника:
    • во внебюджетные фонды (ПФР, ФСС) (абз. 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее – Разъяснения);
    • в трудовую инспекцию (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений);
    • в профсоюзы (ст. 370 ТК РФ, абз. 5 п. 4 Разъяснений);
    • в прокуратуру и правоохранительные органы (абз. 7 п. 4 Разъяснений);
    • в налоговые органы и военные комиссариаты (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений);
    • в Роскомнадзор и его территориальные органы (ч. 4 ст. 20 Закона № 152-ФЗ);
  • при реализации международных соглашений (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
  • при осуществлении правосудия, исполнения судебного акта и иных актов, предусмотренных законодательством об исполнительном производстве (п. 3 ч. 1 ст. 6 Закона № 152-ФЗ);
  • для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ).
  • для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является работник (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ). Это положение позволяет работодателю не получать согласие работника, с которым заключен трудовой договор. Однако если эти данные передаются третьим лицам, то согласие необходимо (ст. 88 ТК РФ, за исключением случаев, когда такая передача обусловлена требованием закона);
  • для защиты жизни, здоровья и иных интересов работника (п. 6 ч. 1 ст. 6 Закона № 152-ФЗ);
  • для реализации прав и законных интересов оператора (работодателя) и третьих лиц или для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ);
  • для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ);
  • в статистических или иных исследовательских целях при условии обезличивания персональных данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ).

# Что требуется от оператора персональных данных?

В первую очередь, выполнить ряд организационных, правовых и технических мер, описанных в Федеральном законе и соответствующих подзаконных актах (в том числе статьи 8.1, 19):

  • Назначить ответственное лицо для организации обработки персональных данных.
  • Издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
  • Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Федерального закона и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
  • Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
  • Ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников.
  • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Обратите внимание, что обеспечение безопасности является важным моментом в вопросе требований, предъявляемых к оператору персональных данных.
Обеспечение безопасности достигается:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедур по оценке соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Согласие на обработку персональных данных без их распространения

С 1 марта 2021 года законодательство о защите персональных данных предусматривает необходимость получать у субъекта персональных данных разные согласия на их обработку в зависимости от того, планируется ли распространять такие данные среди неограниченного круга лиц или нет. Соответственно, субъект персональных данных может дать как простое согласие на обработку персональных данных, так и согласие на распространение персональных данных. Напомним, что под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Ниже рассмотрим порядок оформления и требования к содержанию простого согласия на обработку персональных данных без их распространения.

Содержание согласия на обработку персональных данных

Согласие на обработку персональных данных без их последующего распространения среди неограниченного круга лиц должно содержать следующие сведения (ч. 4 ст. 9 Закона № 152-ФЗ):

  • фамилию, имя, отчество субъекта персональных данных;
  • адрес субъекта персональных данных;
  • номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных;
  • номер основного документа, удостоверяющего личность представителя субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.

Оформление согласия на обработку персональных данных

Действующее законодательство содержит перечень случаев, в которых согласие на обработку персональных данных обязательно должно быть оформлено в письменной форме. В частности, получить письменное согласие необходимо:

  • при обработке биометрических персональных данных (ч. 1 ст. 11 Закона № 152-ФЗ);
  • при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона № 152-ФЗ);
  • при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона № 152-ФЗ);
  • и т.д.

Если для конкретной ситуации законом предусмотрена необходимость оформления согласия на обработку персональных данных в письменной форме с личной подписью субъекта персональных данных, его следует оформить письменно. Кроме того, согласие может быть оформлено в виде электронного документа. В этом случае для его подписания понадобится электронная подпись (ч. 4 ст. 9 Закона № 152-ФЗ). Если письменная форма согласия законом не предусмотрена, оно может быть оформлено другими способами, например, путем проставления субъектом персональных данных отметки в соответствующем поле при заполнении данных на сайте. Заверять такое согласие электронной подписью не требуется.

Однако даже если закон не предусматривает обязательного письменного согласия на обработку персональных данных сотрудника, рекомендуется по возможности оформлять его письменно. В случае возникновения претензий со стороны работника такой документ может подтвердить право работодателя на обработку данных. Дело в том, что согласно ч. 3 ст. 9 Закона № 152-ФЗ доказывать наличие согласия должен именно оператор персональных данных, то есть работодатель. При отсутствии доказательств закон будет на стороне работника.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность?

Ответственность, за нарушение требований по защите ПДн
Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут

  • гражданскую ответственность;
  • уголовную ответственность;
  • административную ответственность;
  • дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.

Согласно изменениям в Кодекс РФ об административных правонарушениях, внесённых Законопроектом № 683952-6, принятым в настоящее время в первом чтении, в статью 13.11 вводятся нормы, которые позволят привлечь оператора ПДн в ходе проверки сразу по нескольким составам административного правонарушения с размером штрафа до 30–50 тысяч рублей по каждому факту нарушения.
Обработка специальных категорий ПДн (в том числе данных о состоянии здоровья) в случаях, не предусмотренных законодательством Российской Федерации о персональных данных, влечёт административную ответственность в размере до 300 тысяч рублей.

Передача персональных данных «за рубеж»

Установлены новые правила трансграничной передачи персональных данных (передача на территорию иностранного государства органу власти иностранного государства, иностранному юридическому или физическому лицу) (ст. 12 Закона № 152-ФЗ, вступает в силу с 01.03.2023):

  • введена обязанность направлять уведомления в Роскомнадзор о намерении осуществить трансграничную передачу;
  • прописаны обязательные сведения, которые должны содержаться в таком уведомлении;
  • установлена обязанность оператора до подачи уведомления получить от органов власти иностранного государства, иностранных физических или юридических лиц, которым планируется трансграничная передача персональных данных:
    • сведения о мерах, принимаемых для обеспечения защиты персональных данных,
    • информацию о правовом регулировании иностранного государства в области персональных данных (при передаче в страны, которые не обеспечивают адекватную защиту персональных данных),
    • контактные данные таких лиц;
  • регламентируются правила и порядок запрета или ограничения Роскомнадзором такой трансграничной передачи. В частности, трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов РФ и в других случаях.

Похожие записи:

  1. Работа по совместительству
  2. Обязателен ли коллективный договор в организации
  3. Какие выплаты положены беременным и семьям с детьми в 2024 году?
  4. Работнику противопоказана его работа: действия работодателя
0
Понравилась статья? Поделиться с друзьями:
Бухгалтерский фокус

Похожие записи:

  1. Работа по совместительству
  2. Обязателен ли коллективный договор в организации
  3. Какие выплаты положены беременным и семьям с детьми в 2024 году?
  4. Работнику противопоказана его работа: действия работодателя
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.