Пересылка персональных данных по электронной почте без согласия

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Пересылка персональных данных по электронной почте без согласия». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч. До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д. Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Пересылка персональных данных по электронной почте

  • Новая редакция закона о персональных данных: как реагировать работодателям
  • Ужесточение ответственности за нарушения в области персональных данных

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Что говорит закон

Часть 4 ст. 5 Закона «О персональных данных»: «Обработке подлежат только персональные данные, которые отвечают целям их обработки».

Предприниматели часто используют скачанные из Интернета документы. А они далеко не всегда соответствуют бизнес-модели и содержат нужные положения. Обработка персональных данных клиентов возможна только в рамках заявленных целей. Поэтому важно указывать рекламные цели во всех документах.

Ответственность за нарушения закона: штраф – от 5 тыс. до 10 тыс. руб. для ИП, от 30 тыс. до 50 тыс. руб. для юридических лиц.

Пример из практики

К нам обратился ИП, который дважды привлекался к административной ответственности по ч. 1 ст. 13.11 КоАП РФ. В первый раз – за направление рекламных материалов на электронную почту покупателя без получения от него согласия на обработку персональных данных. Во второй раз – за обработку персональных данных, не соответствующую заявленным целям. Оказалось, что опубликованная на сайте политика обработки персональных данных не содержала информацию о рекламных целях обработки.

Для привлечения предпринимателя к ответственности должно быть доказано, что направленная информация является рекламой. Под рекламой понимается информация, адресованная неопределенному кругу лиц (п. 1 ст. 3 Закона «О рекламе»). Отсюда возникает вопрос: как информация, направленная конкретному человеку, может быть признана рекламой согласно п. 1 ст. 3 Закона «О рекламе»? Особенно в тех случаях, когда в тексте рекламного сообщения указывается имя клиента.

Примеры из судебной практики

  • Постановление Двенадцатого арбитражного апелляционного суда от 6 ноября 2018 г. по делу № А12-22327/2018.

    Суд указал, что информация, направленная покупателю, была адресована неопределенному кругу пользователей и являлась неперсонифицированной, поскольку не была обращена к конкретному потребителю и из текста письма не следовало, что оно было адресовано определенному лицу.

  • Решение Арбитражного суда г. Москвы от 16 декабря 2015 г. по делу № А40-206674/2015.

    Общество привлекли к ответственности по ч. 1 ст. 14.3 КоАП РФ в виде штрафа в размере 100 тыс. руб. за направление клиенту сообщения рекламного характера. СМС содержало не только рекламу, но и сведения о поступлении процентов на банковский вклад. То есть информация была персонифицирована и направлена конкретному лицу. В этом случае она не подпадает под определение рекламы согласно п. 1 ст. 3 Закона «О рекламе». Однако суд признал ее рекламой, так как по смыслу п. 1 ст. 18 Закона «О рекламе» она необязательно должна быть направлена на неопределенный круг лиц. Более того, информация, передаваемая посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, всегда предполагает индивидуализированного абонента-получателя.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Судебное дело заключалось в следующем. Работник отправил на свою личную электронную почту рабочие документы. Сделал он это для того, чтобы поработать дома. Работодатель узнал об этом и уволил сотрудника. Основанием для расторжения трудового договора стало разглашение коммерческой тайны.

Аргументировал свою позицию работодатель тем, что в пересланных документах содержались конфиденциальные сведения. Сотрудник нес ответственность за передачу этих сведений третьим лицам без согласия на то руководителя.

Работник не согласился с решением работодателя и отправился суд. Однако суд поддержал компанию. Увольнение было признано правомерным. Аргументировал свою позицию судья тем, что работник создал угрозу получения доступа к материалам третьими лицами.

Источник: Апелляционное определение Мосгорсуда №33-39235/2018 от 12 сентября 2018 года.

Работодателям рекомендуется закрепить запрет на пересылку информации на личную почту в локальных актах. В этом случае будет проще уволить сотрудника за нарушение сформулированного запрета.

Из положений статьи 1.2 новой редакции закона №54-ФЗ ясно видно, что без добровольного согласия покупателя продавец не сможет получить его персональные данные.

Являются ли номер телефона и адрес электронной почты персональными данными?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

  1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
  2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
  3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
  4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
  5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

г. Екатеринбург, пер. Отдельный, 5

остановка транспорта Гагарина

Трамвай: А, 8, 13, 15, 23

Автобус: 61, 25, 18, 14, 15

Троллейбус: 20, 6, 7, 19

Маршрутное такси: 70, 77, 04, 67

Распространение персональных данных: что должен знать кадровик

Если Вы обнаружили на просторах Интернета свои личные данные или фотографии, размещенные без вашего разрешения, воспользуйтесь нашей инструкцией:

1. Напишите напрямую на электронную почту администрации сайта. Попросите удалить ваши персональные данные, ссылаясь на ФЗ-152 «О персональных данных».

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Электронная переписка как доказательство

Основные случаи обработки Персональных данных Клиентов

1. Прием, обработка, перевозка, доставка (вручение) почтовых отправлений, в том числе международных почтовых отправлений, отправлений EMS

1.1. Какие Персональные данные мы собираем?

Для указанной цели мы обрабатываем следующие категории Персональных данных:

  • фамилию, имя, отчество (отчество при наличии) отправителя;
  • фамилию, имя, отчество (отчество при наличии) получателя;
  • адрес получателя;
  • адрес отправителя – обратный адрес;
  • номер мобильного телефона (по желанию отправителя);
  • данные документа, удостоверяющего личность отправителя (в определенных случаях).

1.2. Цели обработки Ваших Персональных данных

Мы обрабатываем Ваши персональные данные с целью качественного оказания услуги по заданию отправителя по пересылке вверенного Почте России почтового отправления и доставке (вручению) его адресату.

1.3. Правовые основания для обработки ваших Персональных данных

Основаниями для обработки Ваших персональных данных являются:

  • юридическая обязанность Почты России по оказанию услуг почтовой связи в соответствии с нормами действующего Применимого законодательства о почтовой связи.
  • договор оказания услуг почтовой связи, в соответствии с которым Почта России обязуется по заданию отправителя переслать вверенное ему почтовое отправление по указанному отправителем адресу и доставить (вручить) его адресату.

1.4. Срок хранения Ваших Персональных данных?

Срок хранения Персональных данных в отделениях почтовой связи составляет 6 месяцев. Срок хранения Персональных данных в архиве составляет:

  • для внутренних отправлений – до 5 лет;
  • ​для международных отправлений – 5 лет.

2. Оказание услуги по осуществлению почтового перевода денежных средств

2.1. Какие Персональные данные мы собираем?

2.1.1. При приеме денежных средств:

  • фамилию, имя, отчество (отчество при наличии) отправителя;
  • фамилию, имя, отчество (отчество при наличии) получателя;
  • адрес получателя;
  • адрес отправителя;
  • гражданство отправителя;
  • данные документа, удостоверяющего личность отправителя;
  • номер мобильного телефона отправителя (по желанию отправителя).

2.1.2. При выплате денежных средств:

  • фамилию, имя, отчество (отчество при наличии) получателя;
  • адрес получателя;
  • гражданство получателя;
  • данные документа, удостоверяющего личность получателя (в случае если получателем является гражданин иностранного государства – данные документа, подтверждающего законность пребывания иностранного гражданина на территории Российской Федерации).

2.2. Цели обработки Ваших Персональных данных?

Мы обрабатываем Ваши персональные данные с целью качественного оказания услуги по приему, обработке, перевозке (передаче), доставке (вручению) денежных средств с использованием сетей почтовой и электрической связи.

2.3. Правовые основания для обработки ваших Персональных данных?

Основаниями для обработки Ваших персональных данных являются:

  • юридическая обязанность Почты России по оказанию услуги по осуществлению почтового перевода денежных средств в соответствии с нормами действующего Применимого законодательства о почтовой связи;
  • договор оказания услуг, в соответствии с которым Почта России обязуется по заданию отправителя осуществить почтовый перевод денежных средств и доставить (вручить) их адресату.

2.4. Сроки хранения Ваших Персональных данных?

Срок хранения бланков, содержащих Ваши персональные данные – 5 лет.

3. Оказание услуг курьерской доставки

3.1. Какие Персональные данные мы собираем?

Для указанной цели мы обрабатываем следующие категории Персональных данных:

  • фамилию, имя, отчество (отчество при наличии) отправителя;
  • фамилию, имя, отчество (отчество при наличии) получателя;
  • адрес получателя;
  • адрес отправителя – обратный адрес;
  • номер мобильного телефона (по желанию отправителя);
  • данные документа, удостоверяющего личность отправителя (в определенных случаях).

3.2. Цели обработки Ваших Персональных данных?

Мы обрабатываем Ваши персональные данные с целью качественного оказания услуги по заданию отправителя по пересылке вверенного Почте России отправления и доставке (вручению) его адресату.

3.3. Правовые основания для обработки ваших Персональных данных?

Основанием для обработки Ваших персональных данных является договор оказания курьерских услуг.

3.4. Срок хранения Ваших Персональных данных?

Срок хранения Персональных данных в отделениях почтовой связи составляет 6 месяцев. Срок хранения Персональных данных в архиве составляет:

  • для внутренних отправлений – 3 года;
  • для международных отправлений – 5 лет.

4. Продажа транспортных билетов/ билетов на концерты и мероприятия

4.1. Какие Персональные данные мы собираем?

Для указанной цели мы обрабатываем следующие категории Персональных данных:

  • фамилию,
  • имя,
  • отчество (при наличии),
  • пол,
  • дата и место рождения,
  • телефон,
  • адрес электронной почты,
  • данные документа, удостоверяющего личность.

4.2. Цели обработки Ваших Персональных данных?

Мы обрабатываем Ваши персональные данные в целях продажи Вам соответствующих билетов:

1) транспортных билетов на поезд, авиабилетов, транспортных карт и проездных, в том числе льготных билетов;

2) билетов на концерты и мероприятия, реализуемых АО «Почта России».

При отправке уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять уведомление об обработке персональных данных в письме с распечатанным уведомлением или достаточно заполнить электронную форму на портале Роскомнадзора.

ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.

Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, поэтому операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.

На практике направление уведомления об обработке персональных данных в Роскомнадзор происходит в два этапа:

1) заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;

2) отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).

В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.

На практике самый простой и быстрый способ получить заполненное уведомление об обработке персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее в статье мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.

Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.

Если в уведомлении, направляемом в Роскомнадзор, произошли изменения, оператору персональных данных необходимо направить информационное письмо в течение 10 рабочих дней с момента возникновения поправок.

Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.

Если установится факт размещения в реестр операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений в уведомление об обработке персональных данных. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса.

Далее мы рассмотрим образец письма в Роскомнадзор, где заполнять необходимо только те поля, в которые вносятся изменения. Поля, отмеченные *, обязательны для заполнения.

Обращаем внимание! Текст примера следует переработать с учетом особенностей деятельности вашей компании. Убедитесь в том, что в подаваемом уведомлении или информационном письме указаны полные и достоверные сведения о компании.

Образец заполнения уведомления Роскомнадзора
об обработке персональных данных для юр.лиц

В большинстве случаев одним из главных условий обработки чьх-либо персональных данных является наличие согласия на обработку персональных данных. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на оператора.

Компания Google в Москве тут же прореагировала на новый законопроект, что организация может сама принимать решение о типах используемых сервисов. Производители отмечают, что новая инициатива потребует от государства достаточно больших финансовых вложений на развертывание соответствующей вычислительной инфраструктуры с соответствующими требованиями к безопасности.

Интернет-магазин собирает данные, как правило, через

  • форму заказа;
  • форму подписки на рассылку;
  • форму обратной связи.

Федеральный закон «О персональных данных» термин «сбор персональных данных» не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора.

Самое распространенное из них – получение данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Федеральный закон «О персональных данных» термин «сбор персональных данных» не раскрывает. В целях толкования под сбором персональных данных можно понимать документально оформленную процедуру получения оператором от субъекта его персональных данных, для их последующей обработки в соответствии с заявленными целями сбора.

Вроде наличие любого согласия не освобождает от выполнения требований закона «о защите прав субъекта» в т.ч. мероприятий по защите данных. Они же не признают данные общедоступными, что могло бы увести под 4-й класс.

ПРИНЯТО: Решением Ученого совета ФГБОУ ВО «Петрозаводская государственная консерватория имени А.К. Глазунова» Протокол от «25» апреля 2016 г. УТВЕРЖДАЮ: и.о. ректора ФГБОУ ВО «Петрозаводская государственная консерватория имени А.К. Глазунова» «26» апреля 2016 г. В.А. Соловьев М.П.

Техническое средство, реализующее защищенный канал связи, должно быть сертифицировано ФСБ в качестве средства шифрования. Получить сертификат ФСБ могут только те технические средства, которые реализуют отечественные криптоалгоритмы (ГОСТ 28147-89).

Почта России уделяет большое внимание защите Вашей персональной информации. Мы строго ограничиваем доступ сотрудников Почты России к Вашей персональной информации, так же, мы обеспечиваем защиту от доступа третьих лиц к Вашей персональной информации.

В этой статье мы расскажем, как интернет-магазину правильно «подстелить соломки» и обезопасить себя от штрафов.

Сообщество, где вы найдёте советы, как вести себя при наступлении Конца Света, для предотвращения Конца Света, для наступления Конца Света и на случай, если Вы — причина наступления Конца Света и с Вами хотят на эту тему пообщаться.

Подавать уведомление в Роскомнадзор надо, даже если вы живёте не в России. Граждане Украины, Беларуси и любой другой страны обязательно должны обратиться в Роскомнадзор, если они собирают ПД российских граждан.

Одновременно отмечаем, что Федеральный закон № 242-ФЗ не изменяет положений Федерального закона № 152-ФЗ в части трансграничной передачи персональных данных.

На самом деле, закон 152 ФЗ не дает конкретного перечня документов, наличие которых на сайте является достаточным минимумом для законной обработки данных.

Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными (далее — ПДн) является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн).

ЭИОС электронная информационно-образовательная среда Консерватории, включающая систему управления вузом, официальный сайт и электронную почту, иные ресурсы локальной и глобальной сети. 3. Цели и назначение электронной почты 3.1.

По заверениям создателей, этот сайт создан для того, чтобы дать людям, которые опасаются за последствия, возможность донести до адресата свои недовольства или жалобу. Форма отправки очень простая и не требует регистрации, однако все письма проходят модерацию на наличие незаконного контента.

Несмотря на то, что крупные хостинги предлагают удобные условия и механизмы использования удаленной почты в качестве корпоративной, это нельзя считать допустимым, по мнению Виктора Климова. При этом отмечается, что текущая версия законопроекта не содержит требования, касающегося электронного адреса, но он будет добавлен и представлен ко второму чтению.

Письменное согласие пациентов, страхователей по договору ДМС, на обработку их персональных данных, в том числе сведений, содержащих врачебную тайну, имеется только у страховой организации.

Вы должны объяснить, для чего будете использовать персональные данные. Например, для доставки товара, рассылки рекламных писем, отправки СМС-сообщений с напоминанием о конференции и т.д. Собирайте и обрабатывайте только нужные для работы данные — иначе могут выписать штраф.

Мы собрали 7 правил, которые помогут вести законные рассылки.

08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).

Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.

Самый простой способ избежать кары – убрать все формы, которые запрашивают данные пользователей. В этом случае остается только надеяться, что клиенты настолько хотят с вами связаться, что позвонят сами. Естественно, ни про какие рассылки здесь уже речи и быть не может.

Но мы с вами не такие (велик шанс, что вы перешли в эту статью по ссылке из письма). Поэтому давайте разбираться.

На самом деле все не так страшно. Но кое-что сделать придется. Итак:

Нам необходимо обмениваться персональными данными по открытым каналам связи, а точнее говоря просто по электронной почте, если персональные данные будут в запаролированном архиве, это не будет нарушать закон по защите персональных данных? Или нужно искать другие способы передачи персональных данных? Если да, то какие?

Передача сведений может быть с согласия их владельца либо без согласия. Например, человек, который устраивается на работу, обязан передать информацию о себе в компанию, а если в отношении его начато следствие, то – нет.

Передавать сведения в банки безопасно, так же как и в любые другие организации, которые работают с большим количеством клиентов, соблюдают все требования по защите данных и стремятся к тому, чтобы утечки ценных сведений не происходило.

С согласия владельца передаются данные при любом заключении договора, а также при трудоустройстве. От работника в этом случае требуется письменное согласие. Если данные сотрудника, возможно, получить только у третьей стороны, то работодатель уведомляет его о запросе не позднее 5 рабочих дней.

ВАЖНО! При изменении данных работник должен уведомить работодателя и в течение двух недель предоставить копии документов, подтверждающие перемены (например, свидетельство о браке, подтверждающее факт смены фамилии).

Письменное согласие работника требуется:

  • при получении сведений у третьей стороны;
  • при обработке специальных категорий данных.

К спецкатегориям относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Для обработки этих данных нужно обязательное письменное одобрение сотрудника.

Клиент жалуется на рекламную рассылку – предприниматель платит

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.

Как передать данные третьим лицам:

  1. Определиться с набором сведений, которые будут переданы.
  2. Дать согласие на передачу.
  3. Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

Персональные данные можно использовать во вред владельцу, например, в мошеннических целях. Именно поэтому их сбор, обработка и хранение охраняется законом.

Запрещается передача сведений о человеке без его согласия в любые сторонние организации. Всегда требуется запрашиваться согласие на обработку и передачу личной, а тем более биометрической информации о владельце. Согласие на обработку и хранение можно отозвать в любое время. При нарушении прав можно обращаться за их защитой в суд или с жалобой в Роскомнадзор.

Без электронной почты трудно сегодня представить работу любого офиса предприятия, организации, органа власти или местного управления.

Организация, предоставившая этот сервис своим работникам, вовсе не собиралась обрабатывать чьи-то персданные, кроме собственных сотрудников, и, соответственно, уведомлять об этот кого-то ни было. Но вот беда. В подписях электронных писем, получаемых работниками компании, содержатся сведения об их корреспондентах – фамилии, имена и отчества, названия должностей, номера телефонов, адреса электронной почты, как минимум. А может быть, и что-то еще, то, что в терминах «приказа трех» о классификации ИСПДн именуется «персональными данными, позволяющими идентифицировать субъекта персональных данных и получить о нем дополнительную информацию».

Работодатель автоматически становится владельцем ИСПДн, к которой могут предъявляться очень жесткие с точки зрения технической защиты требования, хотя ни целей обработки таких данных он не определял, ни сведения эти у субъектов не запрашивал. Они сами их прислали и обременили его дополнительной ответственностью.

И еще вопрос без ответа. Если отправитель сообщает в электронном письме свои персональные данные и передает их по незащищенным каналам связи. Сам. По собственной воле и в собственном интересе. Вправе ли получатель их считать общедоступными? Закон молчит. Молчат и многочисленные нормативно-правовые акты и методические рекомендации, созданные после вступления его в силу.

Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора

На сайтах многих компаний размещены биографии их топ-менеджеров с фотографиями (наша команда!) или фото с указанием фамилии, имени, должности, контактной информации тех сотрудников, которые работают с клиентами во фронт-офисе. В терминах ФЗ-152 такое размещение – перевод персональных данных, содержащих биометрические сведения (фото), в категорию общедоступных. Это можно сделать только с письменного согласия субъекта, причем согласие должно содержать все предусмотренные законом сведения: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, наименование и адрес оператора, получающего согласие субъекта персональных данных, цель обработки персданных, перечень персданных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, а также срок, в течение которого действует согласие и порядок его отзыва. Представляете себе документик?

Но у собственных работников такое согласие получить еще можно, хотя процедура представляется довольно бессмысленной, учитывая, что те же топ-менеджеры свои биографические справки пишут, как правило, сами, а выбранные для размещения фото согласуются с ними.

Гораздо более запутанной процедура становится в иных случай размещения информации о гражданах в интернете и организации ее использования.

На публичном мероприятии выступает специалист, излагает свою точку зрения, которая, возможно, раскрывает его политические взгляды, философские убеждение и иные сведения, отнесенные законом к категории специальных. На следующий день на информационных сайтах всемирной сети и в СМИ появляются фото спикера с указанием фамилии, должности, места выступления, возможно – еще каких-то сведений, а также изложение высказанных им мыслей. Эта информация также становится общедоступной. А теперь три цитаты из ФЗ-152:

  1. «Обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора»
  2. «Обработка специальных категорий персональных данных, касающихся …политических взглядов, религиозных или философских убеждений … не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи»
  3. «Согласие на обработку персональных данных может быть отозвано субъектом персональных данных».

Даже не затрагивая коллизию с Федеральным законом «О средствах массовой информации», совершенно непонятно, как должен в этих условиях действовать владелец сайта или СМИ, чтобы не нарушить закон.

Еще один пример. Некая организация или физическое лицо специализируются на поиске и систематизации информации в открытых источниках. Естественно, в коммерческих целях. Действуют они строго в рамках закона и собирают, в том числе, персональные данные граждан. Но вдруг кто-то из субъектов, увидев информацию о себе, посчитал свои права нарушенными, а информацию – полученной незаконным способом. Чтобы доказать свою правоту, информационная служба должна не только хранить все скрин-шоты сайтов, с которых были получены данные, но и, поскольку их достаточно легко подделать (модифицировать), все эти скрин-шоты нотариально заверять. Иначе выполнить требования закона о необходимости доказательства общедоступности данных практически невозможно. Как это ни странно, это не предположение, а реальная практика ряда операторов.

Настоящей проверкой серьезности намерений государства добиться защиты персональных данным в соответствии с едиными, жестко регулируемыми правилами, будет предоставление персонифицированных (т.е. предназначенных для конкретного гражданина и содержащих его персональные данные) услуг населению. Постановка на учет по месту жительства и снятие с учета, on-line подача заявления на получение паспорта и многие другие государственные услуги предполагают обработку, в том числе передачу по незащищенным каналам связи, персональных данных граждан. В этом случае портал государственных услуг федерального органа власти, органа власти субъекта Федерации или муниципального органа является ИСПДн со всеми вытекающими последствиями. Дополнительно в проблемам идентификации и аутентификации субъектов на портале услуг, защиты канала связи путем создания крипто-VPN на сертифицированных средствах с любого места, откуда за услугой обращается гражданин (квартиры, интернет-кафе, гостинцы, рабочего места и т.п.), межсетевого экранирования, обнаружения вторжений, т.е. всего того, чего требуют существующие документы регуляторов, встанут в полный рост проблемы неотказуемости от авторства выданного в электроном виде документа, возможности его использования в гражданском обороте, обеспечения целостности и доступности хранящихся на порталах и в базах данных сведений о гражданах, возможности и законности обмена информацией между органами власти в объеме, необходимом для оказания услуг и без согласия на это субъектов, и многие другие.

На существующих сейчас порталах государственных услуг ничего этого нет в помине. Такое впечатление, что создавались они без какого-либо учета требований по безопасности, людьми, не читавшими ФЗ-152 и в расчете на то, что закон к ним применяться не будет.

Кто виноват в сложившейся ситуации, вполне ясно, и повторять это лишний раз необходимости нет. Гораздо важнее понять, что же нужно делать, чтобы обычные, разумные действия миллионов российских пользователей сети и компаний, предоставляющих им для этого соответствующие возможности, не являлись нарушениями закона. Прогресс остановить нельзя. Даже в отдельно взятой стране с суровым законом, защищающим права граждан, которых о согласии с предлагаемыми способами и методами такой защиты забыли спросить.

Нашим законодателям и другим создателям нормативно-правовых актов пора спуститься с небес на грешную землю и поинтересоваться, как и чем реально живут люди сегодня. Как они покупают билеты на поезда и самолеты, получают выписки из счетов и оплачивают через сеть товары и услуги. Что такое веб-технологии и что такое Web 2.0. Как заключают договора, не выходя из дома. Как обмениваются личной информацией с друзьями и малознакомыми людьми, исходя из собственных представлений о защите своих интересов. И сделать так, чтобы были реально защищены их права и интересы, а не защищены на бумаге информационные системы, где эти данные обрабатываются.

При этом они должны исходить из здравого смысла, а не из формальных требований, никому реально не нужных. Менять законы, а не объявлять незаконным все то, что не вписывается в придуманные формальные правила. Принимать подзаконные акты, разъясняющие порядок правоприменения в живом, быстро меняющемся мире.

Поставить наконец впереди настоящие права и свободы субъекта, а сзади – требования к мероприятиям «организационного и технического характера» у оператора персональных данных.

Ранее статья 13.11 КоАП РФ практически не работала сразу по трем причинам:

  • отсутствовала четкая детализация нарушения;
  • штраф для для юридических лиц составлял всего 10 000 рублей, а для физических лиц — 500 рублей;
  • протоколы об административном нарушении составляла прокуратура, у которой существуют более важные и приоритетные дела.

Сейчас ситуация кардинально изменилась и кроме детализации нарушений и резкого увеличения штрафов, возможность составления протоколов предоставили Роскомнадзору. Последний весьма активен в «прочесывании» интернета, поэтому высока вероятность, что своим правом организация воспользуется при первой же возможности. Поэтому тем компаниям (и интернет-магазинам в частности) которые являются операторами персональных данных, стоит проверить соответствие своих сайтов текущим нормам законодательства.

Увеличение штрафных санкций за нарушение правил обработки персональных данных становится заметным не только для небольших сайтов, но и для крупных магазинов, оперирующих большими оборотами. Сейчас в законе предусмотрены следующие штрафы для юридических лиц:

  • неправомерная обработка персональных данных (например, продажа сведений третьим лицам) – от 30 до 50 тысяч рублей;
  • обработка без письменного согласия пользования или с нарушением требований, установленных ФЗ №152, — от 15 до 75 тысяч рублей;
  • отсутствие действующей политики в области обработки персональных данных – от 15 до 30 тысяч рублей;
  • Невыполнение запросов, касающихся уточнения типов запрашиваемых персональных данных и целей их сбора, — от 20 до 40 тысяч рублей;
  • Невыполнение требования пользователя, касающегося удаления его данных, — от 25 до 45 тысяч рублей;
  • утечка данных в результате нарушений действующих правил обработки или недостаточной защиты – от 25 до 50 тысяч рублей;
  • несвоевременное выполнение предписаний со стороны государственных контролирующих органов – от 3 до 6 тысяч рублей (для должностных лиц).


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован.

Для любых предложений по сайту: [email protected]