Можно ли использовать персональные данные без согласия

Обработка персональных данных без согласия субъекта: последствия и ответственность

Обработка персональных данных без согласия субъекта запрещена. Нарушителя этого правила могут привлечь к ответственности — дисциплинарной, административной, гражданской и даже уголовной. Однако есть исключения: в ряде случаев работать с персональными данными можно даже тогда, когда их субъект своего согласия не давал. В статье расскажем о видах ответственности, к которым может быть привлечен нарушитель, а также о том, когда получать согласие на обработку информации не требуется.

Согласие на обработку персональных данных

В соответствии со ст. 9 закона «О персональных…» от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).

Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.

Сторона, получающая личные сведения, обязана:

  • заручиться согласием их владельца на обработку и использование;
  • обеспечивать конфиденциальность;
  • хранить документ, подтверждающий, что владелец разрешил работать с ними.

Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

  • 3–5 тыс. руб. — на граждан;
  • 10–20 тыс. руб. — на должностных лиц;
  • 15–75 тыс. руб. — на юридических лиц.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

За соблюдением законодательных требований в области личной информации следит Роскомнадзор.

Когда согласие на обработку персональных данных не требуется

В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:

  • если лицо является участником судебного разбирательства;
  • если данные необходимы для исполнения госорганами своих полномочий в области предоставления государственных и муниципальных услуг, в том числе для регистрации гражданина на портале «Госуслуги»;
  • для исполнения договора, выгодоприобретателем или поручителем по которому выступает лицо (или для заключения такого договора от его имени);
  • если ситуация требует немедленных действий, необходимых для сохранения жизни и здоровья гражданина, а получить его согласие невозможно (например, человек находится без сознания);
  • собранные личные данные будут использованы в целях проведения статистического или иного исследования, при условии что они будут обезличены;
  • лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей;
  • данные должны быть раскрыты в соответствии с действующими законодательными требованиями;
  • информация используется для журналистской, творческой или научной деятельности, а также для работы СМИ, при условии что это не нарушает права и законные интересы гражданина.

Итоги

Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.

Источник

Ответственность за разглашение персональных данных по 137 УК РФ

Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность. Сущность юридического понятия персональных данных, необходимость законной защиты конфиденциальности частной жизни человека, ответственность за разглашение персональных данных — все эти вопросы рассмотрены в нашей статье.

Виды ответственности за разглашение персональных данных

Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.

Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу. При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.

Подробнее о том, что такое персональные данные, мы рассказали здесь.

Читайте также:  Можно ли использовать плиточный клей с цементом

Пример

Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.

Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.

Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.

Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета. Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр. Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).

Что будет, если не получить согласие на обработку и использование персональных данных, читайте здесь.

А здесь вы найдете образец такого согласия.

Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.

Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье «Дисциплинарный проступок по ТК РФ — понятие и признаки».

За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:

  • дисциплинарная — по ТК РФ;
  • административная — по КоАП РФ;
  • уголовная — по УК РФ.

О величине санкций за разглашение персональных данных сотрудников работником, имеющим доступ к такой информации, рассказали эксперты КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите в Путеводитель по кадровым вопросам.

Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.

Подробнее о дисциплинарной ответственности см. статью «Дисциплинарная ответственность работника и ее виды».

Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.

Штраф по КоАП планируют увеличить в 10 раз. Законопроект уже внесен в Госдуму. Подробнее о планируемых нововведениях узнайте в Обзорном материале от КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Уголовная ответственность по ст. 137 УК РФ

Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.

Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым. Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.

Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.

Уголовная ответственность определяется в виде:

  • либо штрафа;
  • либо обязательных, принудительных или исправительных работ;
  • либо лишения свободы.

Итоги

Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.

Источник

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Юлия Беляева

Консультант Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

Читайте также:  Можно ли хлорку использовать как отбеливатель

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

  1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

  • сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

  • отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

  1. Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Читайте также:  Можно ли использовать теплицу круглый год

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

  • для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

  • для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

  • персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

  • не указан перечень организаций, в которые передаются персональные данные;

  • требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

***

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.  

_____________________________

1 С разъяснениями можно ознакомиться на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/.

2 С информацией можно ознакомиться на официальном сайте: rkn.gov.ru/treatments/p459/p468/.

Источник