3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Передача персональных данных третьим лицам без согласия

Что нужно знать о передаче персональных данных третьим лицам

Если компания незаконно занимается передачей третьим лицам персональных данных своих сотрудников, клиентов или контрагентов, ее ждет крупный штраф или иные административные меры. В каких случаях закон позволяет передавать такие данные.

С претензиями о нарушении законодательства в сфере защиты персональных данных сталкиваются компании, которые работают с клиентами-физлицами. Кроме того, любая компания обязана охранять сведения о своих сотрудниках. Юристу-судебнику может потребоваться отстаивать интересы организации в рамках такого административного спора. Рассмотрим, какую ответственность несут за незаконную передачу данных и каких позиций придерживаются суды.

Какие правила о передаче персональных данных третьим лицам нужно знать операторам

Помимо Конституции РФ, главным документом в сфере защиты персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ. Еще один важный документ — Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». Именно в законе № 152 содержится определение термина «персональные данные». Так называют информацию, по которой можно идентифицировать конкретного человека (ст. 3 закона № 152). Перечень таких данных открытый.

Каждый день появляется все больше ресурсов (в том числе в сети «Интернет»), позволяющих соотнести пользователя таких ресурсов с конкретным человеком. Как следствие, растет и количество операторов персональных данных, которые работают с этой информацией, в том числе осуществляют передачу ее третьим лицам. Передача персональных данных третьим лицам — это вид обработки, в результате которой к информации получает доступ третья сторона.

Одни операторы получают сведения законно, от самих субъектов данных. Другие могут получить информацию с нарушением закона.

Предоставление паспортных и других личных данных третьим лицам не допускают без согласия субъекта

В России запрещена передача персональных данных третьим лицам без согласия субъектов данных, о чем прямо сказано в статье 7 закона № 152. В этой же статье содержится условие, соблюдение которого позволяет передавать такие данные. Этим условием является согласие субъекта.

Согласие на обработку данных должно быть дано в определенной законом форме (ст. 6 закона № 152). Согласие получают путем заключения договора между субъектом и оператором данных. На практике договор чаще всего заключается путем присоединения. Субъект совершает действие, явно свидетельствующее о его намерении заключать договор. Таким действием, например, может быть проставление галочки в соответствующей графе.

Незаконной считают передачу сведений третьим лицам, если субъект персональных данных прямо не указал на такой способ обработки

Передача информации о человеке является законной, если он дал согласие в установленной законом форме. Важно, чтобы разрешение распространялось на все необходимые оператору виды обработки, в том числе на передачу.

Если согласие было получено, но в договоре отсутствует такой вид обработки как «передача третьим лицам», то оператор не вправе передавать персональные данные субъекта. Также оператор не вправе передавать данные, если:

  • субъект отозвал ранее данное согласие;
  • истек срок хранения данных, который стороны указали в договоре.

Какую ответственность несет компания за незаконную передачу данных

Контролирующим органом в сфере защиты персональных данных является Роскомнадзор. Данный орган может провести проверку оператора: например, на предмет исполнения ранее выданного предписания. Проверка может быть как плановой, так и внеплановой. Если оператор осуществляет передачу третьим лицам личных данных субъекта без его разрешения, согласно соответствующим статьям виновное лицо можно привлечь:

  • к гражданской ответственности,
  • к дисциплинарной,
  • к административной,
  • к уголовной.

К гражданской ответственности за передачу личной информации третьим лицам привлекают по нормам главы 8 ГК РФ

Статьи 150-152.2 ГК РФ предусматривает гражданскую ответственность за нарушение законодательства о персональных данных. Гражданин, чьи права нарушили, подает иск. Если суд примет его доводы, ответчика обяжут компенсировать моральный вред и устранить нарушение. Более того, истец может потребовать опубликования судебного акта в открытых источниках.

Чем грозит сотруднику компании передача чужих паспортных данных третьим лицам

Статьи 192 и 81 ТК РФ позволяют применить дисциплинарные меры к ответственным за обработку персональных данных. В зависимости от обстоятельств за допущенное нарушение компания вправе даже уволить с работы. Более того, работник будет вынужден возместить ущерб, который нанес разглашением охраняемой законом тайны. Впрочем, работодатель может ограничиться и простым замечанием.

По закону о персональных данных компании несут административную ответственность за передачу сведений третьим лицам

Если Роскомназдор выявил незаконную передачу персональных данных третьим лицам, к компании-нарушителю применят административные санкции. В 2019 году административный штраф колеблется в пределах от 15 000 до 75 000 руб. за одно нарушение (ст. 13.11 КоАП РФ).

Когда применяют уголовную ответственность

Уголовная ответственность грозит нарушителю, который незаконно передал сведения о частной жизни субъекта, составляющие его личную или семейную тайну. Данный вид ответственности установлен статьей 137 УК РФ и предусматривает от штрафа в размере до 200 000 руб. до лишения свободы на срок до 5 лет.

Каких позиций придерживаются суды

Например, 26 ноября 2018 года Колпинский районный суд Санкт-Петербурга в своем решении по делу № 2-2109/2018 отказал истцу в удовлетворении требований об обязании не разглашать персональные данные третьим лицам, прекратить обработку и передачу персональных данных, взыскании компенсации морального вреда. Суд установил, что истец дал согласие на такую обработку.

Если согласия нет, суд поддержит истца.

Так, Осинниковский городской суд Кемеровской области в своем решении от 8 июня 2018 года по делу № 2-427/2018, оставленному Кемеровский областным судом без изменений, удовлетворил требования истца. Суд принял такое решение ввиду того обстоятельства, что ответчик не доказал наличия согласия от субъекта персональных данных на их обработку, в том числе, передачу третьим лицам.

Таким образом, правильно оформленное согласие субъекта позволит доказать оператору свою правоту и избежать ответственности.

Как наказать компанию, если она передала персональные данные третьим лицам?

В обязанности государства входит обеспечение защиты данных, которые принято считать персональными. Правовые нормы запрещают разглашать сведения такого характера третьим лицам. В этом случае, наказание может быть очень строгим и существенным. Это требование вполне объективно, поскольку передача персональных данных третьим лицам может привести к причинению вреда гражданам. Особенно, стараются получить сведения лица и целые организации, занимающиеся противозаконной деятельностью.

Моя подруга столкнулась с такой ситуацией, когда банк «слил» ее адрес, номера телефонов и прочие сведения, коллекторам. Оснований для этого не было никаких, поскольку моя подруга исправно вносила кредит, но в результате банковской ошибки, попала в список «жертв» коллекторов. Обратившись в прокуратуру, она смогла отстоять свои права, а вот многие россияне так и не добиваются наказания для подобных нарушителей. Вот об этом и давайте поговорим в очередной статье.

Какие данные считаются персональными, и почему они подпадают под защиту государства?

Чтобы выяснить, какие данные и почему называются персональными, следует обратиться к федеральному закону «О персональных данных». В этом документе представлено определение того, какие сведения стоит рассматривать, как персональные.

Фактически, речь идет о данных любого рода, но относящихся к личным сведениям о том или ином гражданине. В статье седьмой указанного ФЗ, более подобно описано, почему персональные данные следует защищать. Главная задача – обеспечить безопасность личности и здоровья россиян.

Дело в том, что по закону, защита личных сведений заключается в том, что лицо, которому был передан доступ к этим сведениями, не имеет права передавать информацию третьим лицам, без согласия гражданина.

Какие сведения разглашать нельзя?

Более точную информацию о том, какие именно данные разглашать нельзя, можно найти в вышеуказанном ФЗ. Там указаны следующие персональные данные граждан:

  • ФИО;
  • дата рождения и паспортные данные;
  • семейное и имущественное положение;
  • доходы и статус работника или лица, без трудоустройства.

Именно за распространение информации, без разрешения владельца, назначается наказание, а виновное лицо привлекается к ответственности. Единственными случаем, когда можно это сделать, является наличие согласия от правообладателя, оформленное в письменном виде. К примеру, организация, где работает или куда обратился человек, обязана сделать гражданину запрос о возможности обработки персональных данных.

Общие признаки разглашения персональных сведений

По нормам российского законодательства, разглашение может иметь ряд субъективных признаков. Именно эти характеристики позволяют людям составить предварительное мнение о том, что разглашение случилось, и обратиться в суд. Речь идет о следующих «симптомах»:

  • личная информация на гражданина была передана хотя бы одному лицу;
  • сведения были опубликованы в интернете или в СМИ;
  • персональные данные конкретного лица появились в газете;
  • передача сведений была осуществлена для последующего использования.

Признаки могут быть и другими, но перечисленные являются основными. Здесь следует учитывать, что ответственность может наступить не просто за разглашение и за прочие неправомерные действия с информацией. К примеру, здесь можно указать сбор данных. Под сбором понимается получение персональных сведений человека, без его разрешения и без подписания соответствующего согласия. В дальнейшем, использование информации, полученной таким путем, может повлечь более тяжелую ответственность – уже по уголовной статье.

Особое внимание уделяется распространению специфических персональных сведений, например, тайны усыновления. Эта информации не подлежит распространению, ни при каких обстоятельствах. Наказание предусматривает привлечение виновного лица к ответственности по уголовной статье.

Куда обращаться и какие меры ответственности предусмотрены?

Нарушение закона в сфере распространения персональных данных, предусматривает административную или уголовную ответственность. Основная задача – это своевременное пресечение распространения информации без согласия правообладателя.

Административная ответственность предполагает уплату штрафа в размер до 3000 рублей для физических лиц и до 75000 рублей — для компаний. Должностные лица обязаны будут заплатить штраф в размере до 10000 рублей. Такие наказания предусмотрены за передачу данных третьим лицам, к примеру, для банков, когда информацию передают коллекторам.

Уголовная ответственность предусматривается за более тяжкие наказания и выражается в штрафе до 200 000 рублей. Обычно, такое наказание назначается, если распространение персональных данных привело к другим противоправным последствиям – к нарушению неприкосновенности личности или жилища гражданина.

Заключение

Завершить представленный материал можно выводами:

  1. Персональными считаются личные данные гражданина, которые нельзя распространять без письменного согласия владельца.
  2. Чтобы жизнь и личность правообладателя была защищена, за передачу информации личного характера третьим лицам предусмотрено наказание.
  3. Ответственность за разглашение личных сведений может быть административной или уголовной, в зависимости от тяжести совершенного преступления.

Передача персональных данных третьим лицам без согласия

Защита прав субъектов персональных данных

Основным нормативно-правовым актом, регулирующим отношения, связанные с обработкой персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В соответствии с ч. 1 ст. 23 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных»), Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16.03.2009 № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

На территории Тверской области, в соответствии с Положением об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по тверской области, утвержденным Приказом Роскомнадзора от 25.01.2016 № 71, полномочия по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных возложены на Управление Роскомнадзора по Тверской области.

Закон «О персональных данных» установил следующие основные понятия:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данных;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

— информационная система персональных данных — совокупность содержащихся в базе данных персональных данных обеспечивающих их обработку информационных технологий и технических средств.

Также Федеральный закон № 152-ФЗ установил принципы обработки персональных данных, условия и порядок обработки персональных данных, права субъектов персональных данных, обязанности оператора, права и обязанности уполномоченного органа в ходе осуществлениям им своей деятельности, а также ответственность за нарушение требований данного Федерального закона.

Основными законодательными и нормативно-правовыми актами в области обработки персональных данных являются:

Конституция Российской Федерации от 12.12.1993;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах своих полномочий;

требовать от оператора уточнения, блокирования или уточнения недостоверных или полученных незаконным путем персональных данных;

принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

направлять в органы прокуратуры, правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

привлекать к административной ответственности лиц, виновных в нарушении Закона «О персональных данных».

Права субъектов персональных данных

Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.

Глава 3 Закона «О персональных данных» устанавливает следующие права субъектов персональных данных:

1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, должны быть представлены субъекту персональных данных оператором в доступной форме.

3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных;

наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;

иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.

4. Субъект персональных данных вправе обжаловать действия (бездействия) оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Уведомление оператора об обработке персональных данных

В соответствии с ч. 1 ст. 22 Закона «О персональных данных» операторы обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление, предусмотренное ч. 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

В случае представления оператором уведомления, содержащего неполные или недостоверные сведения, Управление вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

В соответствии с ч. 7 ст. 22 Закона «О персональных данных в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Уведомление об изменении сведений представляется Оператором в территориальное управление Службы на бланке оператора в виде информационного письма с указанием основания изменения сведений в письменной форме, подписанное уполномоченным лицом, с указанием сведений в соответствии с ч. 3 ст. 22 Закона «О персональных данных».

Статьей 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:

— ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), (влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей).

— ст. 13.14. Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей).

Кроме того, статья 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде (влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей).

Дела об административных правонарушениях предусмотренных статьями 13.11, 13.14 КоАП РФ, возбуждаются прокурором и рассматриваются судом.

Дела об административных правонарушениях предусмотренных статьей 19.7 КоАП РФ, возбуждаются уполномоченным органом и рассматриваются судом.

По состоянию на 31 декабря 2018 г. количество операторов, осуществляющих обработку персональных данных на территории Тверской области и внесенных в реестр операторов, осуществляющих обработку персональных данных, составляет 5594.

Передача персональных данных третьим лицам в 2019 году

В 2019 году работодателю необходимо получить согласие работников на передачу их персональных данных третьему лицу. Поводов для передачи данных может быть много, например, заключение договоров ДМС или получение “зарплатных” карт. Читайте о том, как оформляется процедура, скачайте готовый образец документа

В каких случаях требуется передача персональных данных работника третьим лицам

Законодательство в сфере персональных данных с каждым годом предъявляет все более жесткие требования к их защите. Очевидно, что операторы собирают их не только для того, чтобы хранить и оберегать; обработка подразумевает и их передачу.

Скачайте документы из статьи

Статьей 88 ТК РФ определено, что в общих случаях передача персональных данных третьим лицам осуществляться не может. За исключением двух вариантов:

1. Служащий дал письменное согласие на передачу, при этом его предварительно проинформировали, кому и для чего понадобилась его личная информация.

2. Конфиденциальные данные передаются без согласия их субъекта в особых случаях:

  • в госорганы;
  • при угрозе жизни и здоровью человека;
  • в случаях, определенных федеральным законом.

Составляем Политику обработки персданных по новым требованиям Роскомнадзора

Если с первым пунктом всё понятно, то второй нуждается в пояснениях.

Что касается госорганов, то работодатель не может не передавать им сведения о сотрудниках. Это:

  • Фонд соцстрахования;
  • Пенсионный фонд;
  • Налоговые органы;
  • Трудовая инспекция;
  • Органы исполнительной власти, расследующие несчастные случаи в компании.

Очевидно, что отказ служащего от посредничества нанимателя во взаимодействии с этими учреждениями невозможен.

Кредитные учреждения, банки, страховые компании в этот перечень не входит. Им информация предоставляется только с письменного согласия служащего.

► Что касается передачи ПДн при угрозе жизни и здоровью – это вопрос приоритетности безопасности человеческой жизни. Например, при внезапном ухудшении здоровья, распространении инфекций, неоднократных отравлениях нанимателю придется по запросу передать в медучреждение имеющуюся у него информацию о здоровье служащего.

Также в некоторых отраслях от сотрудников требуется предварительное медобследование (медкнижка), результаты которого предъявляются контролирующим органами при проверках.

► Что касается случаев, определяемых федеральным законом к ним можно отнести, например, ч. 5 ст. 20 ФЗ № 79-ФЗ от 27.07.2004 г, который обязывает опубликовывать в СМИ по их обращениям информацию о доходах и имуществе госслужащих.

Есть еще несколько ситуаций, в которых у работодателя возникают сомнения: можно передавать ПДн или нет.

► Передача между структурными подразделениями (от кадровика к бухгалтеру или в отдел безопасности). Данная процедура необходима, и она возможна, но должна быть оговорена в Положении о защите ПДН, с которым служащий ознакомлен. Обмен данными происходит между лицами, включенными в приказ о сотрудниках, имеющих допуск к ПДн персонала.

► Передача родственникам служащего. Несмотря на близкие связи, они в данной ситуации являются третьими лицами, и без согласия сотрудника получить его данные не могут.

► Передача сведений в профсоюз – с письменного согласия сотрудника.

Как организовать работу с персональными данными, чтобы было удобно вам и безопасно для компании

Как оформляется передача данных

При заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения – нельзя.

Алгоритм передачи персональных данных третьим лицам в 2019 такой:

Шаг 1. От инстанции нанимателю пришел письменный запрос. Основной его критерий – мотивированность. Документ должен включать в себя указание цели запроса, ссылку на правовые основания запроса, перечень запрашиваемой информации.

Шаг 2. Проанализировав полученную бумагу, наниматель может сразу отказать в выдаче ПДн, если у него возникнут сомнения, аргументировав отказ тем, что запрашиваемые сведения отнесены законом к информации с ограниченным доступом.

Шаг 3. Если запрос закономерен, руководитель направляет служащему уведомление о необходимости дать согласие с указанием названия учреждения, запросившего данные и целей их использования.

Шаг 4. Сотрудник пишет согласие или отказ в передаче сведений.

Шаг 5. Если согласие получено, наниматель отправляет заявителю необходимую информацию, напоминая ему об ответственности и с просьбой предоставить отчет об использовании данных согласно означенным целям.

Шаг 6. Запросившая информацию инстанция по окончании проведения манипуляций с ней высылает начальнику служащего подтверждение того, что использовала ее в строгом соответствии с целями, указанными в первоначальном запросе.

Все упомянутые бумаги составляются в вольной форме, поскольку унифицированных бланков не существует.

Новые возможности для карьерного роста

Как составить согласие на передачу персональных данных третьим лицам

Документ прост в составлении, его можно оформить в печатном или рукописном виде. Пишется на имя руководителя от служащего (ФИО, паспорт, прописка). Суть документа раскрывается в первом предложении: человек дает согласие своему работодателю на предоставление персональных данных третьей стороне (название учреждения) для определенной цели. Далее следует перечисление тех сведений, которые передаются.

При составлении документа будет целесообразным указать, в течение какого времени настоящее согласие будет действительно. Заканчивается согласие подписью служащего и датой составления.

Ответственность за нарушения

Несогласованная передача персональных данных третьим лицам в 2019 считается их разглашением и влечет за собой ответственность:

1. Дисциплинарную (замечание, выговор, увольнение).

2. Административную (ст. 13 КоАП) в виде штрафа:

  • 1-3 тыс.руб. для граждан;
  • 5-10 тыс.руб. для должностных лиц;
  • 20-50 тыс.руб. для организаций.

3. Уголовную (ст. 137 УК РФ), если будет доказано, что передача была умышленной, в виде:

  • штрафа 200 тыс.руб.;
  • обязательных работ 120-180 ч.;
  • исполнительных работ до 12 мес.;
  • ареста на срок до 4 мес.

4. Гражданско-правовую. По решению суда нарушителю вменяется в обязанность выплатить пострадавшему компенсацию за моральный ущерб.

Для чего необходима передача персональных данных: что это такое и как происходит?

Персональные данные запрещается передавать без согласия владельца. Иначе оператора, выполнившего это, может ожидать административная, уголовная или гражданская ответственность.

Передача информации возможна только при соблюдении определенной процедуры и применения специальных мер для ее защиты. Для чего необходима передача персональных данных, что это такое и как происходит, расскажет данная статья.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — просто позвоните, это быстро и бесплатно !

Что это такое?

Сведения о фамилии, имени, отчестве, месте и дате рождения, а также его адресе, семейном, социальном статусе, доходах и активах, образовании относят к персональной информации, которая не может становиться публичной без согласия на это самого человека. Исчерпывающее определение этого понятия указано в законе «О персональных данных», принятом еще в 2006 году.

Передача данных возможна:

  • трансграничная (на территорию иностранного государства);
  • внутренняя (на территории РФ).

Защита данных не требуется только в том случае, когда они являются общедоступными либо обезличенными. Например, если информация о человеке размещена на его сайте или уже была использована в СМИ или других открытых источниках либо если сведения поданы в виде статистики для научных целей.

Можно ли передавать ее в другие организации?

Личную информацию о человеке передавать можно, но для этого необходимо заручиться его согласием. К примеру, работодатель должен получить от сотрудника письменное одобрение, за исключением случаев, когда передача сведений необходима в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ). Не допускается также передача информации в коммерческих целях, к примеру, для последующей рассылки спама или рекламы.

Какие данные работника охраняются законом:

  • номер паспорта;
  • контактные данные;
  • номер свидетельства о присвоении ИНН;
  • сведения о составе семьи, уровне дохода, штрафах;
  • номер страхового пенсионного свидетельства;
  • сведения из диплома, трудовой, медицинской книжки;
  • номер водительских прав и пр.

Речь идет о сведениях, который любой работник самостоятельно передает в бухгалтерию или отдел кадров, когда оформляется на работу. Сам работодатель эту информацию не собирает. Это не должно попасть в посторонние руки, например, в базу данных клиентов телефонной компании или любой другой коммерческой компании.

Работодатель также не вправе требовать отчета о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им своих обязанностей. Сведения о человеке (заполненная им анкета, личная карточка, результаты аттестации и пр.) могут быть переданы только специально уполномоченным лицам.

Личные сведения передаются и при регистрации в онлайн-магазинах. Для этого покупатель всегда ставит галочку в онлайн-форме договора о своем согласии. Передается информация и в других случаях: от устройства ребенка в школу и до получения кредита.

Даже если вы хотите подписаться на рассылку, где требуется предварительно заполнить анкету со сведениями о ваших доходах, семейном положении и прочем, необходимо будет давать согласие на обработку и хранение всех перечисленных сведений.

Кому можно получать?

Передавать данные можно всем, кто их запрашивает в рамках заключения договора (в том числе трудового) или другой деятельности.

Наиболее часто мы передаем данные банку, страховщику, лизинговой компании и другим коммерческим организациям, с которыми оформляем письменный договор. Защита информации о вкладах, кредитах и других договорах клиента очень важна, так как любая утечка может привести к взлому карточного или другого счета либо нарушить банковскую тайну клиента.

По законодательству вся информация об операциях клиента банка должна храниться на электронных носителях не менее пяти лет. В случае отзыва у банка лицензии, электронные носители должны быть переданы в Банк России. Защищаются только данные физлиц, поскольку на компании действие закона не распространяется.

Данные клиентов хранятся в системе Клиент-Банк, перевода денег, а также на сайте компании и других ресурсах. Для защиты сведений в банковских и других структурах используются самые разные технические и организационные меры, например, подсистемы контроля доступа, регистрации, межсетевой безопасности, антивирусные меры, средства для обнаружения вторжений. Операторы шифруют свои архивы, документы, каналы связи и используют пакетную коммутацию MPLS.

Особенности распространения личной информации

Передача сведений может быть с согласия их владельца либо без согласия. Например, человек, который устраивается на работу, обязан передать информацию о себе в компанию, а если в отношении его начато следствие, то — нет.

Передавать сведения в банки безопасно, так же как и в любые другие организации, которые работают с большим количеством клиентов, соблюдают все требования по защите данных и стремятся к тому, чтобы утечки ценных сведений не происходило.

С разрешения владельца

С согласия владельца передаются данные при любом заключении договора, а также при трудоустройстве. От работника в этом случае требуется письменное согласие. Если данные сотрудника, возможно, получить только у третьей стороны, то работодатель уведомляет его о запросе не позднее 5 рабочих дней.

Письменное согласие работника требуется:

  • при получении сведений у третьей стороны;
  • при обработке специальных категорий данных.

К спецкатегориям относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Для обработки этих данных нужно обязательное письменное одобрение сотрудника.

Без его согласия

Без согласия информация передается в том случае, если она обезличена (для статистических или иных научных целей) либо является общедоступной. Обработка биометрических данных может осуществляться без согласия только в связи с осуществлением правосудия, в целях безопасности, в рамках оперативно-розыскной деятельности, следствия.

Согласие работника не требуется, если обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

Процедура отправки

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

Как передать данные третьим лицам:

  1. Определиться с набором сведений, которые будут переданы.
  2. Дать согласие на передачу.
  3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Подготовка документов

Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

Это может быть документ, в котором указывается дата, персональные данные и контакты, а также дается разрешение на их передачу. Либо пользователь принимает его путем регистрации на сайте или подачи заявки на получение товара или услуги. В последнем случае достаточно будет просто поставить отметку напротив соответствующей фразы.

  • Ф.И.О., адрес, номер паспорта;
  • наименование и адрес оператора;
  • цель обработки, перечень данных и действий с ними;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие дается на срок действия договора и в течение 5 лет после его окончания. Отзыв согласия может быть произведен в письменной форме не ранее даты прекращения договора или даты исполнения обязательств в соответствии с ним.

Согласие дается на целый ряд действий: от сбора до уничтожения и трансграничной передачи. Обработка осуществляется путем хранения, записи на электронные носители и их хранение, составления перечней, маркировки. Если вы регистрируетесь на сайте, то оператор должен разъяснить, как может быть отозвано согласие и что для этого нужно сделать.

Трудовой договор

При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

Каналы

Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте. Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

Досрочный отзыв

В любой момент, даже если данные уже переданы, можно запретить их обработку и хранение другими лицами. В случае отзыва согласия оператор обязан по закону прекратить обработку и уничтожить их в течение месяца.

Как отозвать разрешение на обработку данных:

  1. Подготовить заявление об отзыве согласия.
  2. Направить его на адрес оператора с просьбой прекратить обработку данных в течение 3-5 дней.
  3. Получить уведомление о выполнении просьбы заявителя.

Например, часто отказываются от дальнейшей обработки и хранения медицинских данных родители детей, которые передавали их при оформлении в детские сады. Для этого пишется отзыв согласия в виде заявления на имя руководства учреждения. Аналогичные действия могут предпринимать и жильцы дома, которые протестуют против опубликования списка должников по коммунальным услугам.

Оформление заявления

В заявлении необходимо указать:

  • сроки прекращения;
  • просьбу о письменном уведомлении о результатах рассмотрения заявления.

Нужно перечислить и какие именно данные нужно перестать обрабатывать. Например, если заявление составляется для банка, то речь может идти об адресе и регистрации, контактах работодателей, телефонов (личных и, например, поручителей, родственников). К заявлению может быть приложена копия договора и паспорта заявителя.

Запрет на отправку своих сведений

Если владелец данных не намерен передавать их в другие организации, например, при заключении договора, то он может просто отказаться от его подписания. Подписать договор, наложив запрет на передачу данных зачастую просто невозможно. Отказ от обработки данных делает невозможным заключение договора.

Точно также нельзя отказаться от передачи данных при трудоустройстве. Однако владелец данных всегда может отозвать их, если он считает это необходимым, написав заявление об отзыве.

Обращение в суд в случае несанкционированного разглашения

Подается исковое заявление по месту жительства истца или ответчика. Госпошлина при подаче иска составляет 200 рублей. Оператора также можно привлечь к административной или уголовной ответственности.

Полезное видео

Смотрим видео о защите и передаче персональных данных:

Заключение

Персональные данные можно использовать во вред владельцу, например, в мошеннических целях. Именно поэтому их сбор, обработка и хранение охраняется законом.

Запрещается передача сведений о человеке без его согласия в любые сторонние организации. Всегда требуется запрашиваться согласие на обработку и передачу личной, а тем более биометрической информации о владельце. Согласие на обработку и хранение можно отозвать в любое время. При нарушении прав можно обращаться за их защитой в суд или с жалобой в Роскомнадзор.

Ссылка на основную публикацию
Adblock
detector