В эпоху цифровизации и всеобщей глобализации вопросы защиты персональных данных становятся особенно актуальными.
Для современного юриста важно понимать основные принципы
и нормы в этой области.
1. Законодательство
Различные страны разрабатывают свои законы и регламенты, касающиеся защиты персональных данных. Примером может служить Общий регламент по защите данных (GDPR) в Европейском союзе. Юристу необходимо изучать местное законодательство и следить за его изменениями.
На территории Российской Федерации в отношении любых действий и процессов, связанных с персональными данными граждан, действует Федеральный закон № 152 «О персональных данных». ФЗ № 152 распространяется на все организации, зарегистрированные в России, а также представительства иностранных компаний, находящихся в пределах страны.
А также: Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" {КонсультантПлюс};
"ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения" (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст) {КонсультантПлюс}
2. Согласие
Основное условие обработки личных данных — наличие явного согласия субъекта данных. Договоры и соглашения должны четко и понятно описывать, какие данные собираются, с какой целью и как долго хранятся.
В соответствии с частью 1 статьи 9 Федерального закона N 152-ФЗ субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе; согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона N 152-ФЗ, возлагается на оператора (часть 3 статьи 9 Федерального закона N 152-ФЗ).
Пример:
Форма: Уведомление о намерении осуществлять обработку персональных данных работников (образец заполнения) (КонсультантПлюс, 2023) {КонсультантПлюс};
Форма: Уведомление о намерении обрабатывать персональные данные (образец заполнения) (КонсультантПлюс, 2023) {КонсультантПлюс};
Форма: Согласие на обработку персональных данных (Подготовлен специалистами КонсультантПлюс, 2023) {КонсультантПлюс};
Форма: Согласие работника на обработку его персональных данных (образец заполнения) (КонсультантПлюс, 2023) {КонсультантПлюс}.
3. Ограничение целей
Данные следует собирать только для конкретных, ясно определенных и законных целей. Не следует использовать их для других целей без дополнительного согласия.
Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все ваши действия с персональными данными должны быть связаны с той целью, с которой вы их получили.
За обработку персональных данных, не совместимую с целями их сбора, вас могут привлечь к ответственности.
Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2023) {КонсультантПлюс}
Вопрос: В каком порядке осуществляется обработка персональных данных физических лиц? (Подготовлен для системы КонсультантПлюс, 2023) {КонсультантПлюс}
4. Минимизация данных
Следует собирать только ту информацию, которая действительно необходима для реализации установленной цели.
В Российской Федерации, согласно ч. 5 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), "обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки".
За обработку персональных данных, которая не совместима с целями сбора, предусмотрена ответственность в форме штрафа в размере 2 000 - 6 000 руб. для граждан, 10 000 - 20 000 руб. для должностных лиц и 60 000 - 100 000 руб. для юридических лиц (ч. 1 ст. 13.11 Кодекса об административных правонарушениях РФ). Более внушительными штрафами наказывается повторное нарушение обработки персональных данных (п. 1.1 ч. 1 ст. 13.11 КоАП РФ).
<Письмо> Минкомсвязи России от 18.10.2017 N П11-1-200-24749 "О разъяснении норм федерального законодательства" {КонсультантПлюс}
Статья: Сбор избыточных данных: вопросы правового регулирования (Едидин Б.А., Крымская К.В.) ("Право и цифровая экономика", 2022, N 2) {КонсультантПлюс}.
5. Хранение данных
Данные должны храниться в безопасной среде и только в течение периода, необходимого для выполнения заданных целей.
В п. 7 ст. 5 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ о хранении персональных данных сказано, что обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
По общему правилу при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить, в частности, хранение таких данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Закона о персональных данных).
Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2023) {КонсультантПлюс}
6. Доступ к данным
Субъект данных имеет право на доступ к своим данным, их корректировку, удаление и, в некоторых случаях, ограничение обработки. Юристам следует знать процедуры обработки таких запросов.
По запросу или обращению физлица (его представителя) по общему правилу физлицо имеет право на получение сведений, касающихся обработки персональных данных. Эти сведения вы должны предоставить ему (его представителю) в течение 10 рабочих дней с момента обращения либо получения оператором запроса. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней (ч. 1, 3 ст. 14 Закона о персональных данных).
Кроме того, вы должны в порядке, предусмотренном ст. 14 Закона о персональных данных, сообщить субъекту персональных данных (его представителю) информацию о наличии относящихся к нему персональных данных, а также предоставить возможность ознакомиться с ними при обращении субъекта (его представителя) либо в течение 10 рабочих дней с даты получения соответствующего запроса. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней (ч. 1 ст. 20 Закона о персональных данных).
Вы должны безвозмездно предоставить субъекту персональных данных (его представителю) возможность ознакомиться с персональными данными, относящимися к этому субъекту персональных данных (ч. 3 ст. 20 Закона о персональных данных).
Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных влечет ответственность по ч. 4 ст. 13.11 КоАП наложение административного штрафа на граждан в размере от 2 000 до 4 000 руб.; на должностных лиц - от 8 000 до 12 000 руб.; на индивидуальных предпринимателей - от 20 000 до 30 000 руб.; на юридических лиц - от 40 000 до 80 000 руб.).
Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2023) {КонсультантПлюс}
ст. 13.11, "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ (ред. от 04.08.2023) {КонсультантПлюс}
Законом не предусмотрена обязанность своевременно уведомлять об изменении своих персональных данных.
Однако, например, несвоевременное предоставление измененных данных может повлиять на исполнение работодателем своих обязанностей. Поэтому в Положении об обработке и защите персональных данных целесообразно зафиксировать обязанность работника ставить работодателя в известность о таких изменениях в конкретный срок. Это избавит работодателя от многих проблем, например от неблагоприятных последствий, которые могут возникнуть при подаче в налоговый орган документов, содержащих недостоверные сведения о персональных данных работников.
Форма: Заявление работника об изменении персональных данных (Подготовлен для системы КонсультантПлюс, 2023) {КонсультантПлюс}
Форма: Дополнительное соглашение к трудовому договору при изменении паспортных данных работника (смена фамилии) (образец заполнения) (КонсультантПлюс, 2023) {КонсультантПлюс}
Форма: Приказ о внесении изменений в кадровые документы в связи со сменой работником фамилии (образец заполнения) (КонсультантПлюс, 2023) {КонсультантПлюс}
В соответствии с ч. 2 ст. 8 Федерального закона по требованию гражданина его данные должны быть исключены из общедоступных источников, например справочников, словарей, очевидно, что и с сайтов Интернета.
Форма: Отзыв субъектом персональных данных согласия на обработку персональных данных (Подготовлен для системы КонсультантПлюс, 2023) {КонсультантПлюс}
7. Передача данных
Передача данных третьим сторонам и особенно в другие юрисдикции требует особого внимания. Необходимо учитывать юридические основания и риски, связанные с такой передачей.
Персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях:
, например, в налоговый орган и СФР. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ, Разъяснения Роскомнадзора).
<Разъяснения> Роскомнадзора "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" {КонсультантПлюс}
При передаче персональных данных третьему лицу оператор может нести ответственность как за свои действия, так и при определенных условиях за действия такого третьего лица. Это зависит от того, давал ли оператор третьему лицу поручение на обработку персональных данных или нет. Например, оператор может дать такое поручение агенту, который действует в интересах оператора.
Кроме того, третье лицо может получить доступ к персональным данным как работник оператора, и в этом случае оператор может понести ответственность за действия работника.
Форма: Заявление физического лица о согласии на передачу оператором персональных данных третьим лицам (Подготовлен для системы КонсультантПлюс, 2023) {КонсультантПлюс}
Форма: Согласие работника на передачу его персональных данных третьей стороне (образец заполнения) (КонсультантПлюс, 2023) {КонсультантПлюс}
8. Ответственность и штрафы
Несоблюдение законов о защите данных может привести к существенным штрафам. В Российской Федерации, если вы обрабатываете персональные данные граждан (например, клиентов, сотрудников), то за нарушения по работе с этими данными вас могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.
Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.
Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.
Готовое решение: Кто и какую ответственность несет за нарушение законодательства о персональных данных (КонсультантПлюс, 2023) {КонсультантПлюс}
Заключение:
Защита персональных данных - не просто юридическая необходимость, но и вопрос этики. Важно обеспечивать частную жизнь людей, их права и свободы в цифровую эпоху. Юристы играют ключевую роль в этом процессе, обеспечивая соблюдение законов и стандартов.
ПОДБОРКА ДОКУМЕНТОВ К СТАТЬЕ
Материал подготовлен с помощью СПС КонсультантПлюс
Данная статья имеет информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации и не препятствует руководствоваться законодательством в понимании, отличающемся от изложенного в настоящем сообщении. Услуга оказывается в соответствии с регламентом Линии консультации. Ознакомиться с регламентом можно по адресу:
http://ra-it.ru/articles/reglament-raboty-linii-konsultatsii/