Уголовный юрист

Юристы по кредитам

Изменения в обработке персональных данных с 1 сентября 2022 года

Опубликовано: 02 декабря, 2022 Категория: Жилищное право Комментариев нет

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Изменения в обработке персональных данных с 1 сентября 2022 года». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Новые штрафы за нарушение правил обработки персональных данных
2. В каких случаях ФИО относятся к персональным данным
3. Какие данные считаются персональными?
4. Какие данные являются персональными: позиция суда
5. Какими бывают персональные данные
6. Средства защиты и охраны персональных данных
7. Характеристики безопасности персональных данных
8. Какая информация доступна при наличии паспортных данных
9. Законодательство и нормативные акты
10. Данные копии паспорта – это персональные данные или нет. Что это означает на практике
11. Проверьте свою кредитную историю
12. Работа со специальными категориями данными
13. Отказ в предоставлении ПД
14. Основные положения закона
15. Позиция регулятора и судов
16. Обработка персональных данных

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

В каких случаях ФИО относятся к персональным данным

Регулятор склонен считать ПД любые сведения, обрабатываемые оператором и предоставляемые ему субъектом при условии подписания согласия на обработку. Такой информацией будут и полные анкетные данные, и краткие сведения в интернет-магазине, по которым невозможно установить их реального обладателя. В любом случае все сведения должны защищаться с применением организационных, программных и технических способов обеспечения конфиденциальности.

Часто оператор, считая фамилию, имя, отчество общеизвестной информацией, хочет сократить расходы, связанные с их обработкой. Но в итоге такие манипуляции не приводят к достижению соглашения с регулятором. При проверке организация будет оштрафована, если защита имен граждан обеспечена программными решениями низкого уровня.

В инструкции об обработке ПД, с которыми работает Центробанк, это сведения о сотрудниках, аудиторах, руководстве коммерческих банков и других категориях лиц. В п. 5.1. четко указано: такие сведения, как фамилия и имя, отчество при его наличии, пол, являются персональными данными. На качество и степень обработки категория сведений не влияет. При этом Банк России уточняет, что только фамилии и имени для идентификации недостаточно, они должны быть использованы совместно с реквизитами паспорта или другой идентифицирующей информацией.

Выделяют несколько видов персональных данных:

  • Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
  • Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
  • Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
  • Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Читайте также:  Срочная служба в Росгвардии — требования к призывникам и процедура

Какие данные считаются персональными?

Какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»?

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов. Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает. И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

  • фамилия;
  • имя;
  • отчество;
  • паспортные данные;
  • год, месяц, дата рождения;
  • место рождения;
  • адрес;
  • семейное положение;
  • социальное положение;
  • имущественное положение;
  • образование;
  • профессия;
  • доходы.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Какими бывают персональные данные

Личная информация не сводится к столь строгому перечню, как приведенный выше список. Используемое в законе понятие опирается на Европейскую конвенцию по защите персональных данных, а федеральные органы не обладают достаточными полномочиями для уточнения или подробной трактовки. Вот почему под такой информацией часто понимают гораздо более широкий перечень персонализированных сведений.

Поскольку организациям для работы необходима информация о сотрудниках и/или клиентах, ее собирают, изучают и обрабатывают. Для каждого предприятия или ведомства набор важных данных собственный, но при этом все систематизированные базы подчиняются единому законодательству, ведь информацию из них легко связать с определенными лицами.

Российское федеральное законодательство разбило сведения о гражданах на категории для удобства обработки и дальнейшего анализа. В итоге получились четыре обширные группы персональных данных:

  1. общие;
  2. специальные;
  3. биометрические;
  4. иные.

К первой относятся данные из паспорта, информация об образовании, трудоустройстве, а также способы связи. Сюда не входит информация о личности, только способы выделить конкретного человека из общей массы сведений.

А вот группа специальных данных уже касается сугубо личной сферы, так как здесь уже раскрывается информация об:

  1. этнической принадлежности;
  2. политических воззрениях;
  3. религиозных убеждениях;
  4. медицинских показателях;
  5. личной жизни (семейное положение, финансовое и имущественное состояние);
  6. наличии судимостей и т.п.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

  • установлением рисков при обработке ПД в ИС;
  • постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
  • процедура совершенствования средств и результативности защиты;
  • постоянное рассмотрение машинных носителей ПД;
  • мгновенное установление неразрешенного проникновения;
  • восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
  • фиксация и учет всех действий, которые совершаются в ИС;
  • используется сотрудничество с вневедомственной охраной;
  • база данных защищена паролями, известными только людьми, у которых есть право доступа;

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

  • конфиденциальность
  • целостность
  • доступность

ДОПОЛНИТЕЛЬНЫЕ:

  • неотказуемость
  • учетность (подконтрольность)
  • аутентичность (достоверность)
  • адекватность

Структура информационной системы подразделяется на:

  • автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
  • комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Какая информация доступна при наличии паспортных данных

Паспортные данные позволяют получить довольно обширные сведения о человеке из открытых источников, например такие:

  • данные непосредственно о человеке – это, прежде всего, ФИО гражданина РФ. Легко можно по паспортным данным узнать дату и место рождения физического лица, его пол, место регистрации и др.;
  • информация о легитимности паспорта физлица, наличии/отсутствии его владельца в розыске по криминальным или исполнительным производствам, о наличии в собственности автомобиля;
  • данные о семейном состоянии, о круге интересов и знакомств. Найти фото человека по паспортным данным также не составит особого труда (особенно в тех случаях, когда человек активно пользуется социальными сетями, выкладывает собственные фото, ведет блоги и т. п.).
Читайте также:  Пособия на ребенка в Кемеровской области

Законодательство и нормативные акты

Каждый день наши соотечественники в различных ситуациях производят массу операций в интернете, предусматривающих занесение в базу персональных данных или их использование. В основной массе пользователи даже не подозревают, насколько опасно может быть несанкционированное вмешательство в базы данных и какими последствиями чревато.

Это интересно! Какой нужно платить штраф за просрочку паспорта в 14 и 20 лет

Начиная от оформления кредитов и карточек, что на сегодняшний день считается одним из относительно безобидных мошеннических действий, до более серьезных. Когда буквально несколькими кликами неизвестного умельца можно лишиться всего имущества – от недвижимости до других материальных ценностей.

Чтобы подобного не происходило, государство и Правительство уполномочило защищать безопасность данных о гражданах соответствующие учреждения и органы. Основные нормативные акты, которые регулируют безопасность обработки и сохранность используемой информации:

  1. Федеральный Закон № 152 «О персональных…» от 27 июля 2006 года;
  2. Изменения и дополнения, внесенные в ФЗ в редакции 29 июля 2017 года;
  3. Постановление Правительства РФ № 828 от 08 июля 1997 года № 828, о внесении личного кода в документ — паспорт РФ;
  4. Решения Верховного Суда РФ от 9 августа 2011 года № ГКПИ11-902 и № ГКПИ03-927.

серия и номер паспорта по фиоНесанкционированное использование, применение для осуществления собственных целей и распространение данных относительно граждан и их персональных сведений строжайшим образом ограничивается ФЗ № 152.

Они относятся к организациям, работающим с персональными сведениями и данными паспорта, занимающихся обработкой подобных сведений.

В законодательном порядке не регламентируется работа и действия определенного характера. Прежде всего, это относится к обработке данных иными физлицами в личных целях, организации и наполнении архивов, обработке данных о лицах, которые могут иметь элементы государственной тайны.

Данные копии паспорта – это персональные данные или нет. Что это означает на практике

Копия паспорта гражданина является персональными данными, поэтому использовать ее можно с учетом №ФЗ-152 «О персональных данных». Любая организация, которая снимает копию с паспорта, автоматически становится оператором персональных данных (статья 3 ФЗ-152 ФЗ).

Оператор персональных данных должен использовать копию паспорта для конкретных целей, хранить ее в защищенном месте и не допускать утечек информации. Также операторы в обязательном порядке должны запросить согласие на обработку персональных данных у владельца паспорта в письменной форме с указанием целей, для которых эти сведения потребовались.

Гражданин может потребовать у организации, которая снимает копию, соглашение на обработку персональных данных. Если письменное соглашение в компании отсутствует, это должно насторожить. Высока вероятность, что паспортные данные могут попасть в руки мошенников.

Проверьте свою кредитную историю

Чаще всего незаконно полученные данные мошенники используют для получения кредитов обманным путем. Получив деньги, они исчезают, а сам заём приходится отдавать тому человеку, чьи персональные данные были использованы для этой операции. Часто, доказывать тот факт, что вы не брали кредит, приходится очень долго и сложно и не всегда это заканчивается успехом.

Поэтому, мы рекомендуем периодически проверять свою кредитную историю. Для этого нужно обратиться в БКИ (Бюро кредитных историй) и запросить отчёт. На портале Госуслуг вы можете запросить сведения о БКИ, где хранится ваша кредитная история. Как правило, в каждом БКИ можно 1-2 раза в год бесплатно получать отчёт о вашей кредитной истории. Рекомендуем это делать периодически. Кроме этого, вы будете знать, какие банки и когда запрашивали к ней доступ. Ситуация должна насторожить, если в указанные в отчете банки вы не обращались за кредитами.

Если вдруг вы увидели там, что на ваше имя был оформлен кредит, или даже если получен отказан на выдачу, стоит немедленно обратиться в банк за разъяснениями.

Работа со специальными категориями данными

Обработка информации, которая связана с личными политическими взглядами и религией, может быть проведена только в исключительных ситуациях. Сюда также относятся такие моменты, как национальность, особенности личной жизни. Но доступ к подобной информации и ее последующий анализ возможны только при определенных условиях:

  1. На обработку предварительно было получено письменное разрешение.
  2. Информация является общедоступной.
  3. Сведения, которые касаются здоровья человека, могут быть использованы только для сохранения его жизни.
  4. Есть необходимость в проведении судебных мер.
  5. Требуется провести определенную розыскную деятельность или мероприятия, отвечающие за безопасность.

Несмотря на то, что даже при определенных разрешениях можно получить доступ к персональным данным, человек имеет право отказать в этом праве.

Отказ в предоставлении ПД

Если ранее предоставленное разрешение на предоставление данных начинает тем или иным образом мешать человеку, он имеет право отозвать его. Отказ нужно оформить в виде специального заявления. Отправляется оно не только на фактический адрес организации, но также на юридический.

Чтобы переслать письменное заявление на отказ, рекомендуется использовать обычную почту РФ. К заказному письму следует приложить копию паспорта и иных имеющих отношение к делу документов. Одновременно с этим нужно помнить, что каждая ситуация требует использования индивидуальных мер. Довольно часто требуется участие полиции.

Читайте также:  9 идей для бизнеса, которые не прогорят в 2023

Если перечисленные меры не будут соблюдены, если незаконное разглашение продолжается и причиняет моральный вред владельцу персональных данных, он может подать иск в суд. При доказанном нарушении организациям будет грозить уголовная ответственность. Пострадавший же получит возмещение морального ущерба и имущественного, а также получит компенсацию по убыткам, которые были понесены в результате разглашения ПД.

Основные положения закона

Широкое понятие о персональных данных включает всю информацию о человеке

Примечательно, что государство не разграничило понятие «личностных данных», то есть под понятие ПД могут попасть любые сведения, касающиеся жизни человека, состояния его здоровья и прочие.

Юристы считают, что этот закон не доработан, а значит, понятие «личная информация» можно классифицировать, как угодно. То есть строгих ограничений нет. Так, если данные касаются человека, его личной жизни, помогают установить с ним контакт, то ее можно классифицировать, как частную. Отношения между организацией, физическим лицом и гражданином регламентируются ФЗ.

Проект запрещает:

  1. Предавать сведения огласке, предоставлять их третьим лицам.
  2. Использовать с целью получения выгоды.
  3. Пользоваться данными, преследуя свои цели, в стремлении отомстить или опорочить гражданина.

Все это нарушает нормы законодательства РФ. Но в определенных случаях, когда гражданин считается преступником, его ПД могут быть предоставлены блюстителям порядка. Что также не считается нарушением законодательства нашей страны.

Позиция регулятора и судов

Роскомнадзор не видит прямой возможности исключить ФИО из общего перечня ПД, несмотря на мнения экспертов о том, что только эти данные, без наличия иного идентифицирующего признака, не дают однозначной возможности определить личность. Этой же позиции придерживается Центробанк.

Хотя Роскомнадзор выпустил несколько разъяснений, где однозначно ответил на вопрос, являются ли фамилия, имя, отчество персональными данными, иногда ведомство выражает двойственную позицию. Так, в 2012 году в письме территориального управления по Республике Карелия отмечено, что фамилия и инициалы гражданина – это, несомненно, персональные данные субъекта. С другой стороны, без применения других сведений определить принадлежность ПД частному лицу затруднительно. Фамилия, имя, отчество наряду со многими другими способами используются для идентификации отдельного человека среди других.

По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров (фамилии, имени и отчества), на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать. При этом очевидно, что, если у заинтересованного злоумышленника есть иные данные об объекте, предоставление ему данных ФИО позволит определить субъект, например, по номеру машины узнать данные о ее владельце.

В более поздних разъяснениях, предоставленных в 2017 году в ответ на обращение Казначейства России, регулятор, опираясь на нормы федерального закона о персональных данных, отметил, что ФИО, без сомнения, относятся к этой категории. Он сообщил, что среди полномочий ведомства нет права давать разъяснения по вопросам толкования норм закона, эта задача относится к сфере компетенции Минсвязи.

Тем не менее из прямого прочтения текста закона вытекает понимание, что имя и инициалы относятся к персональным данным без каких-либо изъятий, за исключением прямо приводимых в законе:

Это значит, что обработка ФИО должна происходить по тем же правилам и с применением тех же технических и программных средств, что и обработка остального массива конфиденциальной информации, прямо или косвенно относящейся к личным сведениям граждан.

Суды неоднократно обращали внимание операторов на невозможность разглашения любых персональных данных без разделения их на группы по степени идентификации личности.

Безусловно признавая отнесение ФИО к персональным данным, регулятор не готов предоставить операторам более легкие условия по обеспечению их конфиденциальности, чем для других групп сведений, за исключением отдельных категорий данных, относящихся к более высоким уровням защиты, например, биометрическим или медицинским данным. При этом споры о классификации ФИО продолжаются, возможно, законодатель изменит свою позицию в этом вопросе.

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

В свою очередь, обработка может осуществляться тремя путями:

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *