Персональные данные ип что к ним относится

Разъяснения Роскомнадзора по порядку защиты персональных данных

Персональные данные — это любая информация, относящаяся к человеку. К персональным данным относятся ФИО, дата рождения, адрес, семейное положение, образование, профессия, пол, гражданство, сведения о документе, удостоверяющем личность, электронная почта, номер банковской карты. Часто операторы, обрабатывающие персональные данные, забывают включить в список данных сведения о составе семьи, о трудовом и общем стаже, о занимаемой должности, о воинском учете, национальность, ИНН и СНИЛС (это персональные данные даже без привязки к ФИО). Если ИНН указан в ЕГРЮЛ, то это общедоступная информация в части налогового законодательства, однако в иных случаях это ПД (персональные данные). Номер телефона без иной информации – это не персональные данные, так как он относится к пользовательскому устройству. Также государственный номер автомобиля не является ПД, так как относится к транспортному средству.

Индивидуальные предприниматели являются операторами ПД. В категории субъектов персональных данных могут входить не только работники, акционеры, клиенты, физлица, состоящие в гражданско-правовых отношениях, но и соискатели, уволенные работники и родственники работников/клиентов.

Обработка персональных данных

Правовыми основаниями для обработки ПД являются Трудовой кодекс РФ, Налоговый кодекс РФ, Генеральная лицензия на осуществление банковских операций, Федеральный закон №115-ФЗ, . Часто в правовых основаниях обработки забывают указать Федеральный закон № 353-ФЗ «О потребительском кредите (займе)», согласие на обработку ПД (работника, соискателя, клиента и т.д.), договоры. ФЗ «О персональных данных» не является правовым основанием!

Политика обработки ПД и локальные нормативные акты по вопросам обработки должны быть опубликованы. Политика и сведения о мерах по защите ПД размещаются на сайте, где ведётся обработка ПД, а также там могут быть размещены и пользовательское соглашение, и условия использования сервисов. Можно опубликовать общую политику на несколько сайтов, но внутри неё должна быть градация.

Для обработки персональных данных необходимо получить согласие субъекта ПД. В согласии должны быть указаны адрес или данные основного документа, удостоверяющего личность субъекта, наименование или ФИО и адрес оператора ПД, перечень ПД, на обработку которых дается согласие и способ отзыва согласия на обработку ПД. При составлении текста согласия можно использовать типовые формы на сайте РКН. Срок действия согласия может быть ограничен сроком или достижением цели.

Указание в согласии нескольких целей допустимо, в том числе на сбор файловой информации cookie (кроме биометрии, спецкатегории и трансграничной передачи на территорию неадекватных по защите ПД стран). На период принятия решения о трудоустройстве нужно получать согласие на обработку ПД от соискателя и его близких родственников, если требуется информация о них. При действии субъектов ПД в интересах третьих лиц нужно их согласие, доверенность (например, при оформлении туристического пакета).

При опубликовании фотографий и иной информации о сотрудниках на сайте нужно их согласие. Это не распространяется на учителей и работников государственных органов, но при любом превышении минимального перечня ПД из закона их согласие тоже нужно получать.

Для передачи персональных данных работников внутри российской группы компаний нужно получать их письменное согласие, а внутри международной группы компаний – письменное согласие и договор-поручение со штаб-квартирой. Одно согласие работника с указанием каждого контрагента даётся для одной цели обработки ПД.

При передаче ПД работников третьи лица, привлекаемые по договору поручения, могут объединены в одно согласие (если цель обработки ПД единая). Третьи лица, привлекаемые по договору поручения, подают уведомления об обработке ПД, кроме ч. 2 ст. 22 ФЗ «О ПД». У оператора нет обязанности предоставлять третьему лицу, привлекаемому по договору поручения, сведения о правовых основаниях обработки ПД.

После достижения целей обработки персональных данных необходимо их уничтожить и оформить акт об уничтожении. Частым нарушением этого требования является обработка ПД соискателей после принятия решения об отказе в устройстве на работу (при отсутствии внешнего кадрового резерва, кроме гос. служащих) и обработка ПД в информационной системе персональных данных по истечении сроков, указанных в законе. Порядок уничтожения ПД должен быть указан в локальных актах.

Обязанности оператора

Необходимо предоставлять в Роскомнадзор уведомления об обработке ПД. В уведомлении указывается только одно ответственное лицо и даются его почта и телефон. Если контактные данные меняются, об этом нужно обязательно уведомить РКН.

Если иностранное юридическое лицо имеет представительство на территории РФ, то можно подать уведомление, а если нет, то уведомление подавать не нужно. Однако требования о локализации такая организация обязана выполнить (базы данных по обработке ПД должны находиться на территории РФ). Кроме того, раз в два года проводятся проверки в отношении таких иностранных компаний.

Чтобы не было нарушений в виде предоставления неполных или недостоверных сведений, рекомендуется проводить внутри организации аудит деятельности оператора по обработке ПД и следить, чтобы ответственное за заполнение уведомления отраслевое подразделение отражало информацию не только о своей деятельности (кадры, бухгалтерия). В организации должны быть планы или материалы проверочных мероприятий, подтверждающие внутренний контроль/аудит ПД (акты, протоколы, докладные записки).

Популярное нарушение — неполный перечень целей обработки ПД. Например, в целях обработки персональных данных часто забывают указать организацию пропускного режима и подбор персонала.

Понятие “база данных” трактуется сотрудниками РКН по внутреннему убеждению, например, любая таблица в Word – это тоже база данных.
Адреса всех баз персональных данных обязательно должны быть указаны в формате 123456, Москва г., ул. ___, д. ___, стр. ___, в том числе базы данных сайта и информационной системы персональных данных оператора. Также необходимо помнить, что база ПД – это не только информационные системы (сервер, центр обработки данных), но и места, где находятся материальные носители (жёсткие диски, картотеки).

При использовании для хранения облачной инфраструктуры требуется договор-поручение с провайдером. Облачная инфраструктура обеспечивает доступ, а эти действия означают обработку, даже не имея самого доступа к ПД.

После прекращения обработки персональных данных или при изменении информации, содержащейся в уведомлении, необходимо предоставить сведения об этом в Роскомнадзор в течение 10 дней.

Согласно ФЗ №152 “О персональных данных”, в организации должно быть лицо, ответственное за организацию обработки ПД. Нарушением является назначение на эту должность нескольких лиц или отсутствие данного полномочия в должностном регламенте. Можно указать полномочия ответственного лица в трудовом договоре или в приказе о назначении лица и наделении полномочиями, но лучше сделать это отдельно в должностной инструкции.

Работников оператора, непосредственно осуществляющие обработку ПД, обязаны быть ознакомлены с положениями законодательства РФ. Для подтверждения этого формируется лист ознакомления работников с положениями законодательства РФ, соответствующие положения включаются в трудовой договор с работником, проводятся курсы для работников (с получением документов) и внутренние обучающие мероприятия. Ознакомление работников с законодательством в электронном виде не в полной мере отвечает требованиям ст. 86 ТК РФ.
Также должен быть утверждён перечень лиц, осуществляющих обработку ПД, либо имеющих к ним доступ.

Составы правонарушений ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных)

• Ч. 1 ст. 13.11 КоАП: включение избыточного объема данных, неправомерное размещение изображения гражданина на сайте, неправомерная обработка работодателем ПД близких родственников, неправомерная обработка ПД в целях продвижения товаров, работ, услуг;
• Ч. 2 ст. 13.11 КоАП: публикация статьи в интернете, которая содержит инфо в большом объеме со специальной категорией ПД без согласия гражданина, письменная форма согласия не соответствовала ч. 4 ст. 9 ФЗ;
• Ч. 3 ст. 13.11 КоАП: нет политики обработки ПД на сайте;
• Ч. 4 ст. 13.11 КоАП: нереализация права субъекта на получение информации, которая относится к обработке его ПД;
• Ч. 5 ст. 13.11 КоАП: нарушение сроков по уточнению, блокированию, уничтожению ПД;
• Ч. 6 ст. 13.11 КоАП: невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность материальных носителей (например, неправильная утилизация медицинских амбулаторных карт).

1. Отсутствие уполномоченного представителя оператора;
2. Отсутствие документа, подтверждающего полномочия сотрудников на представление интересов оператора и взаимодействие с проверяющими лицами (доверенность, приказ);
3. Назначение в качестве уполномоченных представителей оператора лиц, не обладающих достаточными профессиональными знаниями;
4. Отказ в предоставлении запрашиваемой информации и документации;
5. Отказ в предоставлении доступа в помещения оператора, где осуществляется обработка ПД;
6. Отказ в предоставлении доступа к оборудованию оператора;
7. Неумышленное затягивание сроков проведения проверки (продление сроков – это дополнительная административная нагрузка).

1. Не осуществляют консультирование проверяемого лица;
2. Не предоставляют проект акта проверки для предварительного ознакомления представителем проверяемого лица;
3. Не дают пояснений относительно причин или оснований квалификации отдельных действий оператора как нарушающих ФЗ «О ПД», их можно получить только при обжаловании акта;
4. Не продлевают, в том числе и по письменному обращению проверяемого лица, контрольные сроки исполнения предписания об устранении нарушений.

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ
Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Попробовать бесплатно

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

�� Персональные данные работника обрабатывают только с его письменного согласия.

�� Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

�� Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

�� Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

�� Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

�� Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

�� Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

�� В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

30 дней Эльбы в подарок

Оцените все возможности онлайн-бухгалтерии бесплатно

Попробовать бесплатно

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 27.01.2022

Персональные данные

Клиент оставляет много информации о себе: имя, почту, номер телефона. Список персональных данных обширный, и задача бизнеса — правильно обращаться с этой информацией, иначе можно получить штраф.

Что такое персональные данные

Персональные данные — это любая информация, которая относится к человеку и помогает хотя бы косвенно его идентифицировать. Например, СНИЛС, ИНН, электронная почта относятся к персональным данным, потому что принадлежат конкретному человеку. А госномер автомобиля — нет, потому что идентифицирует транспортное средство.

Когда бизнес собирает информацию о клиентах, он становится оператором персональных данных и обязуется правильно их собирать, обрабатывать и вовремя уничтожать.

Когда нужно собирать персональные данные и как это делать

Персональные данные защищены законом, поэтому бизнес должен собирать с клиентов согласие на их обработку. Но есть ситуации, когда это не нужно. Собрали в таблице самые частые случаи, когда надо и не надо собирать согласия на обработку персональных данных. По всем спорным вопросам лучше проконсультироваться с юристом.

Подписка на рассылку

Хранение данных в отчетных документах

Если согласие на обработку данных потребуется, нужно уведомить Роскомнадзор и собрать необходимые документы. О том, как это сделать, подробно писали в отдельной статье.

Каждая компания или ИП сами составляют согласие на обработку персональных данных. Мы подготовили шаблон, который можно брать за основу.

Когда уничтожать персональные данные клиента

Когда клиент отзывает свое согласие, бизнес должен уничтожить данные одним из двух способов:

• если данные собирались вручную — составить акт об уничтожении персональных данных;
• если данные обрабатывались с помощью сервисов — оформить акт об уничтожении персональных данных и сделать выгрузку из журнала регистрации событий в информационной системе персональных данных.

После этого клиенту нельзя будет присылать акционные предложения и использовать его данные другими способами. Оповещать его об уничтожении данных не нужно, но документы об этом надо хранить еще три года после окончания срока действия согласия.

Как не подпасть под штрафы

Штрафы за нарушения при работе с персональными данными зависят от сути нарушения и вида бизнеса. Например, для средних и крупных предприятий штраф за первое нарушение может достигать 150 000 ₽. Вот список самых частых проступков, которые совершает бизнес:

• не подал уведомление в Роскомнадзор;
• использовал данные без согласия клиентов;
• форма согласия на обработку персональных данных не соответствует требованиям закона;
• цели обработки персональных данных в согласии не совпадают с реальными;
• не уничтожил данные, когда клиент отозвал их;
• случилась утечка персональных данных из-за неправильного хранения;
• политика персональных данных доступна не на всех страницах сайта.

Часть из этих нарушений можно предотвратить самостоятельно, но иногда консультация юриста все равно потребуется. Например, сейчас обсуждается закон об увеличении штрафов за утечку персональных данных, так что к этому вопросу нужно отнестись серьезнее.

Что важно запомнить

1. Персональные данные — это любая информация, которая относится к человеку и помогает его идентифицировать.
2. Есть случаи, когда согласие на обработку персональных данных клиента не нужно. Понять, стоит ли бизнесу разрабатывать документы, поможет юрист.
3. Перед началом обработки персональных данных нужно уведомить об этом Роскомнадзор и разработать необходимые документы.
4. Если клиент отзывает согласие на обработку персональных данных, нужно удалить данные и хранить документы об этом в течение трех лет после окончания срока действия согласия.
5. Если неправильно обрабатывать персональные данные, можно получить штраф.

Телеграм-канал: 59 422 читателя

Персональные данные: ответы на популярные вопросы

Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?

Что такое персональные данные?

Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.

Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.

С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.

Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.

Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).

2. Специальные ПД

Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.

Обработка таких ПД не допускается, за исключением следующих случаев:

• вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
• обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
• обработка в целях страхования;
• обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.

3. Биометрические ПД

Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.

Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.

Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Кто такой оператор персональных данных?

Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.

• работодатель, обрабатывающий ПД своих работников;
• продавец, обрабатывающий ПД клиентов-граждан;
• госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
• владельцы сайтов, собирающие ПД пользователей сайта.

Какие условия обязан соблюдать оператор при обработке персональных данных?

Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:

• в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
• в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
• в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
• для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
• в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти 1 ;
• для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.

Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;

Что такое согласие на обработку персональных данных?

Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

Согласие на обработку ПД должно быть оформлено:

• письменно, если того требует закон (см. выше);
• в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).

Пункты, которые обязательно должно содержать письменное согласие:

• Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
• название организации или Ф.И.О. и адрес оператора;
• цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
• перечень ПД, которые будет обрабатывать оператор;
• информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
• перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
• срок, на который выдано согласие;
• способ отзыва согласия;
• подпись.

Можно ли не давать согласие на обработку ПД?

Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

• считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
• считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

Почему организация может требовать оформления согласия на обработку ПД?

Причин может быть несколько:

• оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
• оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
• оператор хочет перестраховаться.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

• проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
• принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

2. ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

• на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
• на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

Как отказаться от назойливой рекламной рассылки?

Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.

При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.

Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.

Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия оператора;
• в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
• в суд.

Какие права у меня есть при обработке моих персональных данных?

1. Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

• подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
• правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
• способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
• наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
• перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
• сроки обработки и хранения ПД;
• порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
• о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
• сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
• иные сведения, предусмотренные законодательством.

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

• паспортные данные;
• если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
• если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
• иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
• ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

• уточнить ваши ПД;
• блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
• уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

• неполные, например вместо Ф.И.О. указана только фамилия;
• устаревшие, например если вы поменяли паспорт;
• неточные, например ваша фамилия указана с ошибкой;
• получены незаконно;
• не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

3. Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

4. Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

• осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
• иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

• в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
• в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.

1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.