По закону персональные данные представляют собой абсолютно любую информацию, которую удается соотнести с конкретным лицом. Такие сведения третьими лицами могут быть использованы в разных целях, от мошенничества до отправки назойливой рекламы.
Имя человека, его паспортные и контактные данные стали ценным ресурсом, который с каждым днем дорожает и привлекает внимание рекламодателей, а также различных злоумышленников.
Необходимость защиты личных данных
Периодически в СМИ появляются скандальные новости об очередной утечке данных. За последние годы в свободный доступ попала информации о клиентах СДЭК, ВТБ, «Билайна», «Гемотеста» и так далее. Поэтому законодатели постоянно совершенствуют требования к методам работы с персональными данными, ужесточают ответственность за нарушения.
Незаконно полученные сведения используют для «холодных» и «горячих» обзвонов с рекламными предложениями, с их помощью на человека «вешают» кредиты и сделки, чужие обязательства, создают компании-однодневки, играют на тотализаторах и так далее.
Невозможно совершенно блокировать доступ к личным данным, ведь необходимо предоставлять паспорт при заключении сделок, подписании договоров, обращении в государственные органы. В Интернет люди самостоятельно выкладывают много личной информации, не подозревая, каким образом ее можно использовать. В таких условиях азы правовой грамотности обеспечивают безопасность взаимодействий в информационном пространстве и помогают грамотно использовать персональные, то есть, личные данные, реализовать свои права на их защиту.
Что такое персональные (личные) данные
Взаимодействие с персональными данными регулируется федеральным законом ФЗ-152. Конкретного перечня таких сведений в нем нет, как и детального определения. По закону это любые данные, прямо или опосредованно, косвенно относящиеся к конкретному гражданину, позволяющие его идентифицировать. Также в законе отдельно выделены специальные и биометрические персональные данные.
Прежде всего это:
- имя, фамилия, отчество (при наличии);
- дата и место рождения;
- фактический адрес и адрес регистрации;
- номер, серия, дата выдачи паспорта гражданина РФ;
- номер ИНН и СНИЛС;
- адреса страниц в социальных сетях, аккаунты в мессенджерах;
- телефон, адрес электронной почты.
Это так называемые общедоступные данные. К специальным закон относит данные о расе, здоровье, политических убеждениях, семейном положении и родственниках, месте работы, зарплате, наличии судимости. К биометрии причисляет информацию о физиологических и биологических особенностях, то есть, это отпечатки пальцев, рисунок радужной оболочки глаза, даже фотография это персональные данные, ведь она дает представление о конкретном лице.
Основной посыл закона – персональные данные могут обрабатываться и распространяться только с согласия физического лица (кроме исключительных случаев). Лица, которые их обрабатывают, называются операторами данных, при работе с персональными данными они должны соблюдать ряд условий, помимо того, что взять согласие. Возникает практический вопрос: что является персональными данными, кто является оператором и какой информацией он не может свободно распоряжаться.
Проблема отнесения информации к персональным данным
Так как полного, закрытого перечня в законе нет, проблема действительно актуальная. Не всегда просто определить, какая информация может быть отнесена к конкретному гражданину. Помогает судебная практика.
Так, фамилия, имя и отчество могут идентифицировать лицо из массы других людей, поэтому они однозначно являются персональными данными. Поэтому, в соответствии с апелляционным определением Самарского областного суда от 17.10.2019 года по делу № 33-12118/2019 банки не вправе распространять карты с открытыми данными клиентов, а управляющие компании должны скреплять квитанции.
Таких примеров множество. Номер сотового телефона сам по себе не относится к персональным данным, но в соседстве с ФИО владельца уже попадает под действие ФЗ-152. Подпись, хотя, казалось бы, позволяет определить человека, не является биометрическими данными, так как направлена на подтверждение принадлежности конкретному физлицу, личность которого уже определена. Видеозаписи и фотографии, по которым нельзя определить человека, тоже не в зоне действия ФЗ-152.
В то же время в Интернете файлы cooki, текстовые кусочки, собираемые каждым сайтом о заходившем пользователе, его пароле, языке браузера, относятся к персональным данным, так как теоретически позволяют выделить человека из массы серферов по всемирной паутине. Не зря теперь при входе на сайт появляется вкладка об использовании cooki.
Принципы и условия работы с персональными данными
Кто такие операторы данных
По закону ФЗ-152 это любой человек или организация, которые осуществляют работу с персональными данными.
Например, операторами данных являются:
- работодатель, при приеме на работу необходимо предъявить документы, которые содержат личные сведения, с них снимаются копии;
- компания-продавец при открытии личной бонусной карты клиенту в магазине;
- госорганы, запрашивающие паспорт при оказании госуслуг;
- владельцы сайтов, собирающие cooki и другие данные.
При этом нужно учесть, что закон об охране персональных данных не распространяется на случаи их использования (обработки, этот термин фигурирует в законе) для семейных и бытовых нужд.
Что значит обработка
- сбор;
- учет, хранение;
- категоризацию, систематизацию;
- любое использование;
- передачу, распространение;
- и даже удаление и уничтожение.
Очевидно, что под передачей подразумевается также передача третьим лицам, предоставление доступа сторонним гражданам и предприятиям.
При этом совершенно не важно, каким образом производится обработка: с использованием специальных автоматических средств или без них, то есть, на компьютере или вручную, например, при помощи переписывания ручкой. Данные могут храниться как на электронных, так и на бумажных носителях. В любом случае необходимо соблюдение условий обработки.
Обеспечение конфиденциальности
Законом не установлено конкретных субъектов, которые могут быть операторами данных. Каждый госорган, любое юридическое, физическое лицо вправе работать с персональными данными. Никаких требований для того, чтобы стать оператором не предъявляется, в реестры они не вносятся и лицензий не получают, но существуют обязательства по работе с персональными данными.
Прежде всего это обеспечение конфиденциальности, то есть, сохранности и недоступности данных для третьих лиц. Передача данных другим физическим или юридическим лицам возможна только с письменного согласия гражданина, субъекта персональных данных. На этом положении делается акцент в законе, хотя уже есть общее правило о получении согласия на обработку сведений.
Из этого правила есть исключения. Обработка (включая передачу и распространение) без согласия субъекта возможна в следующих случаях:
- для выполнения международных обязательств РФ (например, при экстрадиции, выдачи преступников другим государствам);
- в связи с участием субъекта в судопроизводстве, а также для исполнения судебного акта или акта другого госоргана;
- при исполнении госорганами возложенных на них обязанностей, например, при налоговой проверке;
- когда это необходимо для защиты жизни, здоровья, иных важных интересов, например, при оказании экстренных медицинских услуг;
- когда сбор и анализ совершаются исключительно в статистических, аналитических целях;
- при использовании данных в профессиональной журналистской деятельности, в деятельности СМИ, если не нарушаются права субъекта;
- при создании научных, литературных трудов, если не нарушаются права субъекта;
- при оказании госуслуг. Верховиной суд в определении № 5-КА19-56 от 22 января 2020г. подтвердил, что отказ от дачи согласия на обработку персональных данных не является основанием для отказа в госуслуге;
- при заключении договоров в интересах субъекта, то есть, в которых он выступает выгодоприобретателем. Это могут быть разные договоры: с риэлтором, мастером по ремонту и т.д.
Есть особенности во взаимодействии с биометрическими и специальными данными, но в основном, перечень случаев, допускающих обработку без согласия, одинаков.
Важный момент, работодатель хоть и является оператором данных, согласие на обработку при приеме на работу (и вообще в ходе исполнения договора) брать не обязан, так как считается, что по трудовому контракту работник является выгодоприобретателем. Другое дело – работа с данными кандидатов, тут согласие необходимо.
При этом, и работодатель и риэлтор или другое лицо по договору в пользу клиента должны получить согласие, если планируют использовать данные не в рамках договора или контракта, например, для рекламных рассылок или другой передачи третьим лицам (работодателю может потребоваться бронирования номера в отеле и т.д.).
Согласие
Взаимодействие с личными данными осуществляется только с добровольного, данного по своей воле, согласия физического лица. То есть, ни одно действие с ними нельзя совершить без него.
Согласие по закону выражается в той форме, которая позволяет подтвердить факт его получения. При этом Роскомнадзор, госорган, контролирующий взаимоотношения в сфере обработки персональных данных, разъясняет, что предоставление согласия по телефону или посредством смс-сообщений не является надлежащим способом получения. В то же время, галочка в форме в Интернете, подтверждающая дачу согласия на обработку данных, признается соответствующей закону.
Равнозначной бумажной форме считается электронная форма, заверенная электронной подписью. Согласие на обработку специальных данных дается только письменно.
Какие сведения должны быть отражены в согласии:
- имя, фамилия, отчество (при наличии);
- данные паспорта гражданина РФ, номер и дата выдачи;
- наименование предприятия – оператора или ФИО ИП, физлица;
- цель обработки и перечень обрабатываемых данных, перечень планируемых действий с данными, обычно все они указываются в полном объеме;
- реквизиты лица, которое будет осуществлять обработку, например, данные бухгалтерского предприятия на аутсорсе, которому работодатель передает составление отчетности;
- срок, на который дано согласие;
- подпись.
Ранее данное согласие в любой форме можно отозвать, рекомендуется делать это письменно (или электронно, если используется этот способ). Своеобразной формой отказа является требование к оператору, осуществляющему рекламную рассылку. По ст. 15 ФЗ-152 гражданин в любое время может потребовать прекратить обработку его персональных данных, а предприятие обязано это обращение удовлетворить под угрозой привлечения к ответственности. О чем в заявлении рекомендуется предупредить компанию.
Ответственность за нарушение работы с персональными данными
Нарушителям норм ФЗ-152 грозит не только административная и уголовная, но и гражданско-правовая (по нормам ГК РФ) и даже дисциплинарная ответственность. Составы нарушений и санкции указаны уже в профильных законах и кодексах.
Вид ответственности | Нарушение | Наказание | Статья закона |
Административная | Обработка в случаях, не предусмотренных законом | Штрафы, физлицам грозит взыскание от 2 000 до 6 000 рублей, должностным лицам от 10 000 до 20 000 рублей, юрлицам от 60 000 до 100 000 рублей
За повторное нарушение наказание жестче |
Ч. 1 ст. 13.11 КоАП РФ |
Обработка без согласия | Штрафы, физлицам грозит взыскание от 6 000 до 10 000 рублей, должностным лицам от 20 000 до 40 000 рублей, юрлицам от 30 000 до 150 000 рублей
За повторное нарушение штрафы серьезнее |
Ч. 2 ст. 13.11 КоАП РФ | |
Невыполнение условий, обеспечивающих сохранность | Штраф в размере:
Для граждан – от 1 500 до 4 000 рублей; Для должностных лиц – от 8 000 до 20 000 рублей; Для ИП – от 20 000 до 40 000 рублей; Для юрлиц – от 50 000 до 100 000 рублей |
Ч. 6 ст. 13.11 КоАП РФ | |
Уголовная | Незаконный (без согласия субъекта) сбор и распространение личной информации, составляющей личную или семейную тайну | Штраф до 200 000 рублей, обязательные, исправительные, принудительные работы различной длительности, лишение свободы на срок до 2 лет. Дополнительное наказание – лишение права заниматься определенной деятельностью (занимать определенные должности) на срок до 3 лет | Ст. 137 УК РФ |
Гражданско-правовая | Причинение убытков в результате нарушения правил обработки | Возмещение причиненных убытков | Ст. 15 ГК РФ |
Причинение морального вреда | Возмещение морального вреда | Ст. 24 ФЗ-152, ст. 151 ГК РФ | |
Дисциплинарная | Разглашение какой-либо тайны, охраняемой законом (коммерческой, служебной, государственной) | Увольнение | Пп. «в» п. 6 ч. 1 ст. 81 ТК РФ |
Это только основные составы нарушений закона о персональных данных.
Законопроекты
Правоприменители считают, что существующие штрафы не отвечают международной практике. По закону максимальная сумма санкций достигает 150 000 рублей, в реальности Роскомнадзор чаще назначает штрафы в размере до 75 000 рублей. Тогда как в Европе материальные взыскания часто составляют до 4% от оборота компании.
Нарушение в сфере обработки персональных данных, по-видимому, пока считаются недостаточно существенными, но после массовых утечек законодатели задумались об ужесточении ответственности операторов.
Сейчас в Государственной Думе рассматривается законопроект №353266-8, предусматривающий значительное увеличение штрафов за обработку персональных данных без письменного согласия. Состав нормы дополнен, в него включено размещение биометрических данных в различных базах с нарушением закона.
Штрафы увеличиваются для должностных лиц до вилки от 100 000 до 300 000 рублей, для юрлиц предусматривается в границах от 300 000 до 700 000 рублей. За повторное нарушение должностных лицам будет грозить штраф до 500 000 рублей, ИП – до миллиона, юрлицу до полутора миллиона. Сейчас предусмотрены штрафы в 3-5 раз меньше. Конкретную сумму определяет Роскомнадзор с учетом конкретных обстоятельств.
Законопроект принят в первом чтении, получил одобрительный отзыв Правого управления, что имеет существенное значение при его дальнейшем рассмотрении.
Нарушения
На практике чаще всего встречаются следующие нарушения:
- неполучение согласия на обработку;
- неполучение согласия на передачу третьим лицам;
- неполучения согласия на обработку биометрических данных;
- нарушения при обработке, сборе, хранении и т.д.
Нарушение, которое часто встречалось ранее – размещение управляющими компаниями на информационных стендах перед подъездом данных о должниках по ЖКХ с фамилиями и именами. Московский районный суд г. Калининграда в решении по делу № 2-688/2017 от 19.04.2017 года посчитал, что это нарушение обработки персональных данных, дающее право на взыскание компенсации морального вреда.
При этом сама по себе информация о наличии задолженности порочащей не является, но вот способ ее донесения не соответствует нормам ФЗ-152.
Свердловский областной суд по делу № 33-15137/2019 вынес 19.09.2019 года спорное решение, которым не посчитал номера квартир в отрыве от ФИО персональными данными. В этом случае информация УК о должниках содержала только номера квартир и сумму долга. В то же время можно предположить, что соседи в доме знают проживающих в конкретных квартирах, поэтому информация может быть соотнесена с конкретными физлицами.
Чаще всего граждане обращаются в надзорные ведомства или суд при использовании их личных данных в СМИ с разглашением частных тайн без согласия (об усыновлении, публикации компромата, данных анализов и т.д.).
Защита персональных данных их субъектом
Если гражданин обнаружит, что его персональные данные размещены незаконно (например, на сайте в Интернете, в СМИ, иных открытых источниках публично) или допущены иные нарушение в обращении с ними, есть несколько вариантов действий:
- обращение к оператору данных с претензией;
- жалоба в правоохранительные органы. Этот способ особенно актуален в том случае, если незаконный распространитель неизвестен. В обязанности полиции входит установление нарушителя;
- обращение в Роскомнадзор с требованием разобраться и прекратить нарушение. Роскомнадзор также вправе самостоятельно подать иск в суд в защиту прав пострадавшего гражданина;
- исковое заявление в суд с требованием восстановить нарушенные права (например, изъять данные из Интернета) и взыскать возмещение вреда и/или компенсацию морального вреда. Моральный вред подлежит возмещению вне зависимости от возмещения материальных убытков.
Перечисленные способы можно совместить или использовать поочередно, не забывая о сроках давности. При этом стоит учесть, что срок давности начинает течь с момента, когда лицо узнало или должно было узнать о нарушении прав. Такой момент впоследствии бывает сложно установить, поэтому рекомендуется не затягивать обращение в компетентные органы. Также известно, что нарушение при размещении информации в Интернете, если доступ к ней сохраняется, на практике считается длящимся.
Судебная практика только начинает формироваться, ведущая роль принадлежит Роскомнадзору, который уполномочен контролировать работу с персональными данными, этот госорган нередко обращается с исками в суд.
- досудебный порядок необязателен;
- допускается подача иска по месту жительства истца;
- дела рассматривает суд общей юрисдикции, изначально иск нужно подавать в районный или городской суд;
- при заявлении требования о взыскании материального вреда необходимо доказать нарушение, размер причиненного вера и причинно-следственную связь между нарушением и вредом;
- возникновение морального ущерба доказывать не нужно, так как право на его взыскание установлено в законе ФЗ-152;
- госпошлина по делам о взыскании морального вреда составляет 300 рублей. Размер госпошлина по делам о возмещении материального ущерба зависит от заявляемой суммы;
- сумма компенсации в счет возмещения морального вреда выбирается заявителем, истцом по собственной оценке причиненных нравственных страданий.
На практике доказать возникновение материального ущерба определенного размера вследствие нарушения правил обработки персональных данных сложно, поэтому пострадавшие часто заявляют только требования о взыскании морального вреда. Суды обычно взыскивают с операторов моральный вред в размере от 5 000 до 15 000 рублей, максимум 25 000 рублей, если разглашены данные о болезнях, пластических операциях.
Так, Кемеровский областной суд в определении по делу №33-10099 от 04.10.2018г. признал, что разглашение суммы задолженности вместе с ФИО соседям является нарушением обработки личных данных, но взыскал в возмещение морального вреда только 1000 рублей вместо 100 000, затребованных истцами.
Новосибирский областной суд в определении по делу №33-2720/2018 от 20.03.2018г. указал, что передача номера телефона коллекторам без согласия должника незаконна, но взыскал также только 1000 рублей в счет морального вреда, хотя истец просил 100 000 рублей.
Нарушения допускают даже солидные и заслуживающие уважения СМИ. Санкт-Петербургский городской суд в определении от 09.07.2015г. по делу №33-11751/2015 установил, что «Комсомольская правда» распространила персональные данные в виде фотографии и интервью некого автора с перечислением фактов из личной жизни истца, по большей части не соответствующих действительности. С издания был взыскан моральный вред.
В другом деле газета «Лабинские вести» Краснодарского края опубликовала личные данные несовершеннолетней без разрешения ее законного представителя. Требование Роскомнадзора была проигнорировано главным редактором, в результате газету закрыли (Определение ВС РФ №18-АПГ15-7 от 24.06.2015).
Выводы
- к персональным данным относится информация, позволяющая идентифицировать лицо;
- любое физическое или юридическое лицо вправе собирать и использовать личные данные, в этом случае оно по закону получает статус оператора;
- на любое действие с персональными данными нужно получить согласие, особенно, на их передачу третьим лицам;
- из правила есть ряд исключений, согласие не требуется при заключении договора в пользу субъекта персональных данных, госорганам в их работе и т.д.;
- согласие должно быть выражено в форме, позволяющей достоверно установить его предоставление. По телефону или смс согласие не дается;
- за нарушения работы с персональными данными предусмотрены штрафы, их планируется повысить;
- граждане, обнаружившие, что их персональные данные незаконно обрабатываются, например, распространяются в СМИ, Интернете, вправе обратиться в полицию, Роскомнадзор или суд;
- в суде можно потребовать прекращения незаконной обработки и компенсации материального и/или морального вреда.
Самим гражданам рекомендуется проявлять бдительность при обращении с документами и данными, не передавить их неуполномоченным лицам. При размещении информации в Интернете, даже фотографий следует быть осторожными, чтобы не давать лишних сведений злоумышленникам.
Например, нельзя выставлять копии документов, ими могут воспользоваться мошенники. Также известен случай, когда воры отследили перемещение человека и ограбили квартиру в тот момент, когда он начал размещать в соцсети фотографии с курортов.