не действует Редакция от 04.06.2011 Подробная информация
ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ (ред. от 04.06.2011) «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
(в ред. Федерального закона от 25.11.2009 N 266-ФЗ)
2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;
(в ред. Федерального закона от 27.07.2010 N 204-ФЗ)
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации;
8) обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования.
(в ред. Федерального закона от 29.11.2010 N 313-ФЗ)
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Сейчас нарушение российского законодательства о персональных данных обходится дешевле, чем его исполнение. Расходы на приобретение технических средств защиты информации и их обслуживание могут оказаться в десятки раз дороже, чем уплата штрафа. В лучшем случае российские компании размещают на официальном сайте политику обработки персональных данных. Но даже этот локальный акт может оказаться декларативным, поскольку механизмы, необходимые для реальной защиты и контроля за обработкой персональных данных, например разграничение прав доступа или режим хранения, зачастую попросту отсутствуют.
Содержание
Что делать, если вы узнали об утечке своих данных
Во-первых, необходимо обратиться в суд за возмещением морального вреда.
Так, житель Владивостока смог взыскать 10 тысяч рублей с ПФР за то, что его сотрудники разместили на стенде в качестве образца заявление о выдаче дубликата страхового свидетельства, заполненное на имя этого гражданина с указанием его персональных данных: ФИО, даты рождения, адреса, паспортных данных и СНИЛС (определение Приморского краевого суда от 14.07.2014 по делу № 33-5960).
В другом случае житель Башкирии обнаружил, что юрист, представляющий его интересы в деле о смерти сестры, в составе рекламы своих услуг в интернете разместил персональные данные умершей: фамилию, инициалы и дату смерти. Поскольку согласие на это брат не давал, суд взыскал в его пользу 7 тысяч рублей (апелляционное определение Верховного суда Республики Башкортостан от 18.05.2017 по делу № 33-10180/2017).
Собственница квартиры в Выборге задолжала за коммунальные услуги. Управляющая компания наняла фирму для взыскания долга. За то, что персональные данные собственницы были переданы фирме без её согласия, управляющая компания заплатила пострадавшей 5 тысяч рублей (апелляционное определение Ленинградского областного суда от 21.02.2018 № 33-337/2018 по делу № 2-2350/2017).
Заёмщик из Чувашии получил 3 тысячи рублей за то, что банк отправил письмо, адресованное ему и содержащее сведения о его кредитной карте, не по адресу, указанному в заявлении на получение кредитной карты, а по месту работы, где оно было вскрыто как служебное письмо (апелляционное определение Верховного суда Чувашской Республики по делу № 33-1265/2017).
Москвичка смогла доказать, что её персональными данными воспользовались мошенники и оформили на её имя договор, задолженность по которому с неё начала взыскивать микрофинансовая компания. В результате эта компания вынуждена была выплатить 5 тысяч рублей в качестве компенсации морального вреда за неправомерную обработку персональных данных (апелляционное определение Московского городского суда от 12.12.2018 по делу № 33-54443/2018).
Однако суды не единодушны в решениях по таким делам. Например, житель Санкт-Петербурга, на которого мошенники оформили кредит, ничего не смог получить от банка, незаконно требовавшего с него кредитный долг через коллекторов (апелляционное определение Санкт-Петербургского городского суда от 04.07.2018 № 33-13352/2018 по делу № 2-4806/2017).
Если нравственные страдания истцам по таким делам в большинстве случаев удается компенсировать, то доказать, что утечка персональных данных повлекла вред здоровью (физические страдания), значительно сложнее.
Так, жительница Санкт-Петербурга утверждала, что её самочувствие ухудшилось и ей пришлось обращаться к дерматологу и неврологу из-за судебных тяжб с банком, который пытался взыскать с неё задолженность по кредиту, оформленному на её имя мошенниками. По делу была назначена судебная экспертиза, согласно заключению которой имеющиеся у истицы заболевания в виде акне и невралгии седалищного нерва не были признаны следствием действий банка по взысканию несуществующего долга. В итоге суд взыскал с банка 10 тысяч рублей за нравственные страдания, причинённые неправомерной обработкой персональных данных (апелляционное определение Санкт-Петербургского городского суда от 16.08.2018 № 33-17089/2018 по делу № 2-293/2018).
Во-вторых, помимо морального вреда, в суде можно потребовать возмещения убытков, причинённых утечкой персональных данных. Чтобы добиться компенсации материального ущерба, потребуется доказать наличие этих убытков.
В-третьих, потребовать удалить сведения из публичного доступа. Для этого можно обратиться в суд, но чтобы более оперативно устранить утечку, сначала лучше обратиться напрямую к нарушителю.
Что грозит нарушителю
Публикация паспортных или иных персональных данных лица без его согласия нарушает законодательство в области персональных данных.
Размеры штрафов за неисполнение требований в области персональных данных указаны в КоАП в ст. 13.11. Максимальный из них — 75 тысяч рублей.
Однако сейчас нарушителей наказывают не за утечку данных, а за невыполнение формальных требований. Чтобы устранить этот пробел, в 2018 году Минкомсвязь разработала соответствующие дополнения в закон «О персональных данных» и Кодекс об административных правонарушениях.
Как упорядочивают оборот данных
Минкомсвязь разместила для общественного обсуждения два законопроекта, ужесточающих ответственность в сфере персональных данных.
Законопроекты запрещают компаниям и частным лицам создавать общедоступные базы с персональными данными, собранными из государственных и муниципальных информационных систем. Нарушение этого запрета повлечёт предупреждение или штраф в размере:
- от 1 000 до 2 000 рублей — для физических лиц;
- от 3 000 до 6 000 рублей — для должностных лиц;
- от 5 000 до 10 000 рублей — для индивидуальных предпринимателей;
- от 10 000 до 30 000 рублей — для юридических лиц.
Также согласно законопроектам, операторам, которые поручают обработку персональных данных другому лицу, придется контролировать своего подрядчика и отвечать за его действия. Как именно вести такой контроль, решит сам оператор. За невыполнение обязанности по контролю оператору вынесут предупреждение или штраф:
- от 1 000 до 2 000 рублей — для физических лиц;
- от 3 000 до 6 000 рублей — для должностных лиц;
- от 5 000 до 10 000 рублей — для индивидуальных предпринимателей;
- 10 000—30 000 рублей — для юридических лиц.
Подрядчика ждет более суровое наказание:
- от 3 000 до 5 000 рублей — для физических лиц;
- от 5 000 до 15 000 рублей — для должностных лиц;
- от 10 000 до 20 000 рублей — для индивидуальных предпринимателей;
- от 15 000 до 30 000 рублей — для юридических лиц.
Оба законопроекта по состоянию на конец мая 2019 года еще не внесены в Госдуму.
Почему утечки продолжаются
Предложенные нормы призваны стимулировать операторов персональных данных отвечать за действия подрядчиков, чтобы те не нарушали законодательство. Но эти меры могут не сработать, поскольку штрафы незначительны: чтобы законопроекты принесли результат, уплата штрафа должна обходиться дороже, чем внедрение системы защиты информации.
Такого подхода придерживались в Евросоюзе при разработке Общего регламента по защите данных (GDPR), который вступил в силу в мае 2018 года. Его исполнение обязательно для всех организаций, в том числе российских, при обработке персональной информации граждан, находящихся на территории ЕС.
В первую очередь GDPR касается компаний, которые имеют представительства в странах ЕС. Кроме того, озаботиться соответствием требованиям GDPR также должны российские компании, сайты которых переведены на язык хотя бы одной страны — члена Евросоюза или принимают через сайт платежи в валюте стран ЕС.
Максимальный штраф за нарушения положений GDPR составляет 20 миллионов евро или 4% от оборота компании (в зависимости от того, какая сумма больше).
Кроме того, серьезным стимулом для операторов ЕС обеспечивать безопасность персональных данных не на бумаге, а на деле, является обязанность уведомлять надзорный орган об утечке персональных данных.
При установлении наказания за утечку персональных данных в России целесообразно было бы учитывать подход, разработанный в ЕС, который включает в себя оценку множества параметров: набор данных, объём утечки, применяемые организацией защитные меры, последствия и так далее.
У некоторых работодателей возникают вопросы, возможна ли передача персональных данных без согласия работников, которыми располагает работодатель (трудовых книжек, трудовых договоров, расчетных листков, тарификационных списков и др.), выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза, необходимых для осуществления профсоюзного контроля за соблюдением норм трудового законодательства в учреждениях здравоохранения, в т.ч. при согласовании локальных нормативных актов.
При этом работодатели, считая, что действующее законодательство ограничивает работодателя в возможности передачи персональных данных работника третьим лицам, в том числе и представителям работников, к которым, в соответствии со ст. 29 ТК РФ, относятся в т.ч. первичные профсоюзные организации, препятствуют проведению профсоюзного контроля.
Однако, Профсоюз считает, что действующее законодательство предоставляет право представителям работников (выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза), при проведении контроля за соблюдением работодателями трудового законодательства, на получение доступа к персональным данным работников, обрабатываемых работодателем.
За разъяснением применения норм Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017) «О персональных данных» Центральный комитет Профсоюза обратился в адрес Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
В обосновании своей позиции о возможности передачи персональных данных работников представителям работников (выборным органам первичных профсоюзных организаций, правовым и техническим инспекторам труда Профсоюза) Профсоюз сослался на следующие нормы действующего законодательства.
В соответствии с частью 1 статьи 11 Федерального закона от 12 января 1996 года № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» профсоюзы, их объединения (ассоциации), первичные профсоюзные организации и их органы представляют и защищают права и интересы членов профсоюзов по вопросам индивидуальных трудовых и связанных с трудом отношений.
Согласно части 3 статьи 13 названного Закона первичные профсоюзные организации вправе осуществлять профсоюзный контроль за выполнением коллективных договоров, соглашений.
В соответствии со ст.41 ТК РФ, сведения о заработной плате, времени труда и отдыха и др. относятся к вопросам, регулируемым коллективным договором, контроль за которыми на соответствие трудовому законодательству также входит в полномочия Профсоюза.
Кроме того, особенности обработки персональных данных работников и, в частности, возможности их передачи работодателями в адрес представителей работников (профкомов) при осуществлении ими профсоюзного контроля, регулируются также и Трудовым кодексом РФ.
Так, абзац 8 ст.88 ТК РФ устанавливает требования к передаче персональных данных работников представителям работников, при которых работодатель должен: передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Также Трудовым кодексом урегулирован и порядок передачи данных (абз. 7 ст. 37 ТК РФ): стороны должны передавать информацию друг другу не позднее двух недель с момента получения запроса.
В запросе ЦК Профсоюза была сделана ссылка на действующее федеральное законодательство: статьи 29, 53, 88, 370 ТК РФ, Федеральный закон от 12.01.1996 г. № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности», п.2 части 1 ст.6 Федерального закона «О персональных данных», в совокупности регулирующих право представителей работников, к которым относится Профсоюз, на бесплатное и беспрепятственное получение от работодателей информации по социально-трудовым вопросам в объеме, необходимом для выполнения представителями работников их функций.
- Профсоюз просил разъяснить:
- ограничивает ли Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» право выборных органов первичных организаций Профсоюза и профсоюзных инспекторов труда на получение у работодателей необходимых документов, содержащих сведения о персональных данных, необходимых при осуществлении профсоюзного контроля за соблюдением работодателями законодательства о труде;
- является ли первичная организация Профсоюза оператором персональных данных, обязательно ли ее включение в реестр операторов;
- требуется ли получение работодателем специального согласия работников на передачу персональных данных Профсоюзу в том случае, если у работодателя работают члены данного Профсоюза, а информация запрашивается Профсоюзом в соответствии с трудовым законодательством, для целей осуществления профсоюзного контроля за соблюдением законодательства о труде, соблюдения положений коллективных договоров и соглашений;
- может ли выборный орган первичных организаций Профсоюза, правовые и технические инспектора труда Профсоюза при осуществлении профсоюзного контроля осуществлять обработку персональных данных работников без уведомления уполномоченного органа (Роскомнадзора) (п.1 части 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных») о своем намерении осуществлять обработку персональных данных в соответствии с трудовым законодательством.
Из полученного от Роскомнадзора разъяснения следует, что в случае осуществления профсоюзами, их первичными организациями и выборными органами вида деятельности по обработке персональных данных, подпадающих под исключения, установленные ч.2 ст. 22 Федерального закона «О персональных данных», указанные операторы вправе не представлять в адрес уполномоченного органа уведомления о намерении осуществлять обработку персональных данных.
Кроме того, как указал Роскомнадзор, работодатель, применительно к осуществляемой им деятельности, является оператором, осуществляющим обработку персональных данных своих сотрудников, и, руководствуясь ст.7 Федерального закона «О персональных данных», обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом при наличии правовых оснований и полномочий, установленных федеральным законом, третьи лица, в том числе профсоюзы, могут получить доступ к персональным данным, обрабатываемым оператором.
Аналогичный подход Роскомнадзора Профсоюзом был получен в 2011 г., из которого следовало, что действия представителей работников профсоюза в части, касающейся запроса и получения от работодателя документов, содержащих персональные данные работников, необходимых для осуществления профессионального контроля за соблюдением трудового законодательства, …. «не требует согласия указанных лиц на обработку их персональных данных».
Обращаем внимание, что представители Профсоюза, получившие документы, содержащие персональные данные работника, обязаны соблюдать требования конфиденциальности и безопасности при их обработке, а также обеспечить их использование только в целях, для достижения которых они были предоставлены.