Официальный сайтверховного суда российской федерации

Официальный сайтверховного суда российской федерации Арбитраж

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Статья будет полезна бухгалтерам, сотрудникам кадровых служб и руководителям.

Организация собирает персональные данные сотрудников. Для деятельности компании работодатель планирует сообщить персональные данные третьим лицам. Правомерно ли это? — рассмотрим в новом выпуске линии консультаций 1С‑Рарус.

Содержание
  1. Нарушения в работе операторов персональных данных
  2. Разъяснение закона о переуступке долга по кредитной карте
  3. Детали судебного разбирательства
  4. Передача долга и персональных данных сотрудников третьим лицам: какие правила соблюдать?
  5. Можно ли передавать персональные данные работников третьим лицам?
  6. Не берут согласие на передачу персональных данных третьим лицам
  7. Нарушения закона о персональных данных в России: что нужно знать
  8. Пример 2
  9. Пример 3
  10. Риски и ответственность
  11. Дополнительные условия в договоре
  12. Одно согласие на все случаи обработки
  13. Ошибка № 3: Нет политики обработки персональных данных
  14. Обработка персональных данных в отсутствие согласия
  15. Ошибка № 2. Передача персональных данных третьим лицам без согласия пациента
  16. Ошибка № 4. Персональные данные хранятся за границей
  17. Резюмируя
  18. Не уничтожают персональные данные
  19. Кто должен соблюдать законодательство о персональных данных
  20. Как подготовиться к организации процесса обработки персданных
  21. Как организовать процесс обработки персданных и не получить штраф
  22. Как обеспечить защиту персональных данных
  23. Изменения в законодательстве
  24. Ответственность за нарушение законодательства о персональных данных
  25. Ошибка № 1. Неправильное оформление согласия на обработку персональных данных
  26. Что будет, если передать персональные сведения сотрудников третьим лицам?
  27. Клиники тоже операторы
  28. Полезные советы от Роскомнадзора
  29. Собирают излишнюю личную информацию

Нарушения в работе операторов персональных данных

Только за 2022 год Роскомнадзор оштрафовал операторов персональных данных за нарушения в работе более чем на 50 млн. рублей. Некоторые предприниматели даже не догадываются, что нарушают закон. В статье собрали самые распространенные ошибки, которые допускают предприниматели из-за незнания закона о персональных данных. Прочитайте и проверьте — не грозит ли вам штраф.

Разъяснение закона о переуступке долга по кредитной карте

Специально для настоящих и будущих клиентов банков Верховный суд РФ сделал важное разъяснение закона, о котором мало кто знает. Речь в этом интересном решении Верховного суда шла о долге по кредитной карте и праве финансового учреждения отдать взыскание долга коллекторской конторе.

Детали судебного разбирательства

Наша героиня получила в региональном банке кредитную карту на 35 000 рублей. А вот процентная ставка составила 25% годовых. После нескольких реорганизаций этот местный банк вошел в структуру одного крупного банка. Ну, а там, когда увидели, что есть долг, просто переуступили долг некой коллекторской организации. Подчеркнем отдельно, что самому клиенту ни прежний банк, ни нынешний не счел нужным сообщить, что право взыскания по ее долгу перешло от одного учреждения к другому.

На момент, когда коллекторское агентство обратилось в суд, долг женщины уже достиг 864 886 рублей. Из них 494 027 рублей составил основной долг, а остальное — это проценты. Получив документы на долг, коллекторское агентство просто отправило в суд иск к должнице. Вот только тогда она и узнала о своих проблемах, а главное, об астрономической сумме долга. Но с судами у должницы ничего не вышло. Две местные судебные инстанции поддержали коллекторов.

Передача долга и персональных данных сотрудников третьим лицам: какие правила соблюдать?

В Новосибирском областном суде с решением районных коллег согласились и заявили, что одобрение гражданки на переуступку ее долга не требовалось, поскольку личность кредитора не важна в вопросе исполнения обязательств по кредиту.

Еще областной суд подчеркнул, что в кредитном договоре нет запрета на передачу прав на долг третьим лицам. Но гражданка и с таким решением не согласилась и дошла до Верховного суда РФ.

ВС изучил документы коллег и сказал, что с ними он не согласен. По мнению высокой судебной инстанции, возможность передачи долга должна быть согласована банком и клиентом и предусмотрена в договоре.

При этом ВС сослался на свое Постановление Пленума N 17 О рассмотрении судами гражданских дел по спорам о защите прав потребителей. В этом постановлении сказано дословно следующее. Если речь идет об уступке прав требования по кредитным договорам с физлицами, то суду надо руководствоваться законом о защите прав потребителей.

Этот закон не предусматривает право кредитной организации передавать долг физлица лицам, не имеющим лицензии на право осуществления банковской деятельности, то есть коллекторам.

Исключение возможно, только если разрешение на переуступку долга согласовано сторонами в договоре. ВС отправил дело на новое рассмотрение. Чтобы решение поправили в пользу гражданки.

Юристы напоминают, что подобные решение в пользу должника ВС принимает уже не в первый раз. Хотя в последнее время банки стараются коллекторов прописать где-то в углу договора мелким шрифтом, чтобы клиенты приписку не заметили.

Как правило, такая фраза звучит примерно так — банк может передать права по кредитному договору третьим лицам.

Специалисты единодушны в утверждении: чтобы убрать из договора подобную приписку о третьих лицах, заемщику надо проявить недюжинное упорство и настойчивость или в крайнем случае просто найти другой банк.

*Определение Верховного суда РФ N 67-КГ19-2.

Российская газета — Федеральный выпуск: №251(9196)

Можно ли передавать персональные данные работников третьим лицам?

Организация имеет право передавать персональные данные работников только в двух случаях:

  • Статья 88 Трудового кодекса РФ устанавливает, что организация не может сообщать личные данные сотрудников другим лицам, в том числе в коммерческих целях.
  • Работодатель должен получить письменное согласие работника.

Обратите внимание: передавать третьим лицам персональные данные сотрудников можно, если есть угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ и другими федеральными законами.

Не берут согласие на передачу персональных данных третьим лицам

Пример 1. ИП торгует через свой интернет-магазин. Для доставки товаров он заключил договор с курьерской службой и передаёт ей Ф.И.О., адрес проживания покупателей. Согласия от клиентов на передачу данных третьим лицам он не получает, думая, что личная информация нужна для исполнения договора купли-продажи.

Нарушения закона о персональных данных в России: что нужно знать

Пример 2

ИП-работодатель сдаёт отчётность в Социальный фонд через СБИС. Для этого он передаёт в СБИС персональные данные сотрудников: Ф.И.О., СНИЛС. Согласия от работников на передачу личной информации третьим лицам он не получает. Он думает, что раз сдавать отчётность он обязан по закону, об этом не нужно предупреждать сотрудников.

Пример 3

Владелец интернет-магазина делает email-рассылки своим клиентам с новостями по акциям, скидкам, поступлению новых товаров. Для этого он использует почтовый сервис UniSender или аналогичную программу и туда загружает базу контактов. Согласия от клиентов на передачу их данных разработчикам программы он не получает.

В этих ситуациях ИП нарушает ч. 3 ст. 6 закона от 27.07.2006 № 152-ФЗ О персональных данных. Передавать личную информацию третьим лицам можно только с согласия гражданина. Предпринимателя могут оштрафовать как должностное лицо на сумму от 10 000 до 20 000 рублей по ч. 1 ст. 13.11 КоАП РФ.

Риски и ответственность

Роскомнадзор узнаёт о нарушениях операторов персональных данных в ходе проверок: плановых и внеплановых. Если он получит жалобу от граждан или информацию о возможной утечке личной информации, то придёт с визитом к предпринимателю в любое время. Пожаловаться в Роскомнадзор могут работники, клиенты, сотрудники подрядчиков.

Ответственность за конфиденциальность персональных данных несёт оператор — тот, кто заключил с гражданином договор. Он должен получить согласие, обеспечить защиту личной информации и предотвратить её утечки.

Дополнительные условия в договоре

Чтобы разделить ответственность с третьей стороной при возможных сливах данных, надо включить в договор с ней дополнительные условия:

  • Третья сторона не обязана получать согласия с клиентов ИП на обработку их персональных данных.
  • Она не несёт ответственности за сохранность ПД, если оператор не позаботится указать это в договоре с ней.

Если не уверены, нужно получать согласие на обработку ПД или нет, всегда получайте согласие. За это не штрафуют.

Одно согласие на все случаи обработки

Пример. Владелец сервиса Муж на час публикует на своём сайте данные своих работников с фото, номерами мобильных телефонов, а также отзывы клиентов с указанием их e-mail, ссылок на профиль в соцсетях. Отдельного согласия на распространение персональных данных он не получает. У него есть одно согласие на обработку ПД, которое подписывают работники у кадровика, и одно общее согласие от клиентов на обработку ПД при входе на сайт.

Публикация телефонов, e-mail и имён своих сотрудников или клиентов в интернете, в рекламных буклетах либо на корпоративной доске при входе в офис — это распространение персональных данных. В этом случае доступ к ним получает любой желающий, то есть неопределённый круг лиц.

На распространение ПД нужно получать отдельное согласие в письменной форме, чтобы не нарушать ст. 10.1 закона от 27.07.2006 № 152-ФЗ О персональных данных. Иначе предприниматель может заплатить штраф по ч. 2 ст. 13.11 КоАП РФ:

Если данные граждан публикуются на сайте с иностранным доменом, то наказание будет ещё строже — по ч. 8 и 9 ст. 13.11 КоАП РФ. Это штраф для ИП от 100 000 до 800 000 рублей.

Проверьте, где вы размещаете в открытом доступе данные работников и клиентов. На все эти случаи получите согласие на распространение ПД. Для формы этого документа есть свои требования.

Так, гражданин должен по каждому виду ПД указать, что он разрешает с ними делать. Например, он согласен дать свой e-mail оператору ПД, но против его публикации на сайте.

На сайте Роскомнадзора есть специальный сервис для подготовки шаблона согласия на распространение ПД. Для авторизации нужна подтверждённая учётная запись на Госуслугах. Вы можете составить шаблон согласия и при желании направить его в Роскомнадзор на проверку.

С 1 сентября 2022 года согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. В идеале на одну цель обработки нужно одно согласие. Например, для интернет-магазина могут потребоваться:

Ошибка № 3: Нет политики обработки персональных данных

Сайты медорганизаций находятся под присмотром не только Роскомнадзора, но и других надзорных органов, в том числе Росздравнадзора и Роспотребнадзора. В любой момент госорган может заметить ошибку, которую не получится исправить задним числом, за что последует ответственность. Да и любой пользователь может пожаловаться на неправовое убранство сайта.

Часто клиники не публикуют на своих сайтах политику обработки персональных данных, хотя это обязательное требование (ч. 2 ст. 18.1 Закона о персональных данных). Порой политику ошибочно подменяют согласием на обработку данных. Также нарушением будет формальная политика. То есть та, что не учитывает реальный процесс обработки данных, в которой нет четкого разграничения целей обработки, а для каждой цели – перечня обрабатываемых данных, сроков обработки и т.д.

За отсутствие политики обработки персональных данных грозит штраф в размере от 30 тыс. до 60 тыс. руб. (ч. 3 ст. 13.11 КоАП РФ).

Обработка персональных данных в отсутствие согласия

В отсутствие согласия субъекта персональных данных оператор может обрабатывать конфиденциальную информацию о гражданах лишь в случаях, перечисленных в п. 2-11 ч. 1 ст. 6 Закона № 152-ФЗ. Отметим, данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит.

Так, в п. 2 ч. 1 ст. 6 Закона № 152-ФЗ установлено два основания, освобождающего оператора от получения согласия гражданина на обработку его персональных данных.

Пункты 3 и 3.1 ч. 1 ст. 6 Закона № 152-ФЗ позволяют обработку персональных данных без согласия гражданина в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве. Например, стороны по делу в целях осуществления судопроизводства и исполнения судебных актов вправе указывать в процессуальных документах сведения о других лицах без их согласия (ответчиках, третьих лицах, свидетелях, должниках и т. д.).

Обработка персональных данных, необходимая для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг, также не требует получения согласия идентифицируемого лица (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ). Иными словами, истребование от граждан помимо прочих документов согласия на обработку персональных данных при оказании им государственных или муниципальных услуг будет считаться неправомерным. Данный вывод содержится, в частности, в Постановлении Четырнадцатого арбитражного апелляционного суда от 25 апреля 2013 г. № 14АП-2080/13, Определении Московского городского суда от 30 ноября 2017 г. по делу № 33-40869/2017.

Не требуется согласие гражданина на обработку его персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).

Это основание применимо лишь в тех случаях, когда субъект персональных данных либо выступает стороной договора, либо является выгодоприобретателем или поручителем по договору. Под выгодоприобретателем гражданское законодательство подразумевает лицо, в пользу которого заключен договор (ст. 430 Гражданского кодекса). Это может быть лицо, в пользу которого застраховано имущество по договору страхования (ст. 930 ГК РФ); лицо, в интересах которого осуществляется доверительное управление имуществом (ст. 1012 ГК РФ); лицо, в пользу которого открыт банковский вклад (ст. 842 ГК РФ), и др. Поручитель – это лицо, заключившее договор поручительства, по которому он обязывается перед кредитором другого лица отвечать за исполнение последним его обязательства полностью или в части (п. 1 ст. 361 ГК РФ).

Подчеркнем, что обработка персональных данных в подобных случаях должна строго ограничиваться целями заключения и исполнения договора. Не допускается в отсутствие согласия участника договорного правоотношения передача его персональных данных третьим лицам в рекламных или маркетинговых целях (ч. 1 ст. 15 Закона № 152-ФЗ). Хранение же и передача необходимой информации, содержащей персональные данные, в уполномоченные органы (например, налоговые, органы валютного контроля и т. п.) могут осуществляться оператором без согласия субъекта на основании п. 2 ч. 1 ст. 6 Закона № 152-ФЗ.

Кроме того, с 1 сентября 2022 г. приведенный пункт дополнен требованием о том, что заключаемый с гражданином договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Следующее основание допускает возможность обрабатывать персональные данные физического лица без его согласия, если это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта, когда получить его согласие невозможно (п. 6 ч. 1 ст. 6 Закона № 152-ФЗ). В данной ситуации оператор должен самостоятельно определить, наличествует или нет реальная угроза жизненно важным интересам человека и имеется ли объективная невозможность применения п. 1 ч. 1 ст. 6 Закона № 152-ФЗ (получение согласия). Примером такой обработки может считаться передача или распространение информации о малолетних детях, оказавшихся в трудной жизненной ситуации, потерявшихся гражданах.

Обработка персональных данных возможна без согласия субъекта, если она необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ).

По сути данное основание позволяет оператору оправдать осуществляемую им обработку персональных данных собственными законными правами и интересами или законными интересами и правами иных лиц либо публичными интересами. Но при этом он должен подтвердить, что подобная обработка не имеет отрицательных последствий для субъекта персональных данных. Заметим, что риск возможного несогласия с такой оценкой как со стороны субъекта, так и контролирующих органов несет оператор, поскольку бремя доказывания перечисленных условий возлагается на него.

Не требуется согласие лица, если обработка его персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации (СМИ) либо научной, литературной или иной творческой деятельности (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ). Данное основание гарантирует профессиональным журналистам и СМИ реализовать предоставленное им право на свободу слова (ст. 29 Конституции РФ), право на свободу литературного, художественного, научного, технического и других видов творчества, преподавания (ст. 44 Конституции РФ), но только в той мере, в которой не нарушаются права и законные интересы субъектов персональных данных.

Закон допускает обработку персональных данных без согласия субъекта в статистических или иных исследовательских целях, при условии обязательного обезличивания этих данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ). Под обезличиванием понимается действие, в результате которого становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.

В силу прямого указания закона такая обработка не должна использоваться в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (ст. 15 Закона № 152-ФЗ). Подчеркнем также, что это основание не распространяется на специальные категории персональных данных.

Приказом Роскомнадзора от 5 сентября 2013 г. № 996 утверждены требования и методы по обезличиванию персональных данных. Однако данный документ предназначен для операторов, являющихся государственными или муниципальными органами. Какой-либо иной нормативно-правовой акт, регламентирующий процедуру обезличивания персональных данных, в настоящее время отсутствует.

С 1 июля 2020 года Федеральным законом от 24 апреля 2020 г. № 123-ФЗ ч. 1 ст. 6 Закона № 152-ФЗ дополнена п. 9.1, в силу которого в отсутствие согласия возможна обработка личных данных физических лиц, полученных в результате обезличивания персональных данных, которая осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных данным законом.

Отметим, что Закон № 123-ФЗ создает правовую основу для разработки и внедрения технологий искусственного интеллекта и последующего возможного использования его результатов. Согласно его нормам с 1 июля 2020 года в Москве на пять лет установлен специальный экспериментальный режим, в рамках которого осуществляется нормативное правовое регулирование для создания технологий искусственного интеллекта. При этом под искусственным интеллектом понимается комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение, процессы и сервисы по обработке данных и поиску решений (ст. 2 Закона № 123-ФЗ).

Целями установления такого режима являются обеспечение повышения качества жизни населения; повышение эффективности государственного или муниципального управления; повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта, по результатам установления экспериментального правового режима (ч. 1 ст. 3 Закона № 123-ФЗ).

Безусловно, технологии искусственного интеллекта представляют потенциальную угрозу для неприкосновенности частной жизни, а зачастую сознательно проектируются для идентификации физических лиц. Поэтому разработчикам искусственного интеллекта важно не нарушать право граждан на защиту их персональных данных. Участники эксперимента несут ответственность за соблюдение прав субъектов персональных данных в соответствии с Законом № 152-ФЗ в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте (ч. 6 ст. 4 Закона № 123-ФЗ).

И, наконец, последнее основание для обработки персональных данных без согласия субъекта касается случаев, когда эти данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11 ч. 1 ст. 6 Закона № 152-ФЗ). Примерами требований законодательства являются положения, обязывающие граждан, претендующих на замещение должностей государственной или муниципальной службы, представлять работодателю сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей (ст. 8 Федерального закона от 25 декабря 2008 г. № 273-ФЗ "О противодействии коррупции"); требования законодательства о банкротстве об опубликовании идентифицирующих сведений о должнике-гражданине (ст. 213.7 Федерального закона от 26 октября 2002 г. № 127-ФЗ "О несостоятельности (банкротстве)"), медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации (п. 7 ч. 1 ст. 79 Федерального закона от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации") и др.

В частности, применительно к медицинским работникам, Конституционный Суд Российской Федерации указал, что, реализуя право свободно распоряжаться своими способностями к труду, выбирать род деятельности и профессию (ч. 1 ст. 37 Конституции РФ), лицо тем самым выражает и свое согласие с установленными законодателем условиями и требованиями, обеспечивающими повышенную открытость сведений о деятельности и компетенции представителей отдельных профессий (Постановление КС РФ от 25 мая 2021 г. № 22-П).

Последняя актуализация: 23 июня 2023 г.

Ошибка № 2. Передача персональных данных третьим лицам без согласия пациента

Некоторые клиники ошибочно полагают, что достаточно оформить с пациентом согласие на обработку персональных данных, и после можно передавать его данные другим организациям, например лабораториям, или зубным техникам. Это не так.

Оператор не должен раскрывать персональные данные третьим лицам и распространять их без согласия субъекта (ст. 5, 6, 7, 10.1 Закона о персональных данных). Для каждой передачи данных третьему лицу нужно отдельное согласие (либо включить в общее согласие, если оно оформляется). В нем необходимо указать перечень данных, цель их передачи и лицо, которое их получит, а также другие обязательные сведения. Причем нельзя написать, что «данные передаются лаборатории», – нужно обозначить наименование организации.

Штраф за передачу персональных данных третьему лицу без согласия пациента – от 30 тыс. до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП).

До передачи персональных данных в договоры с третьими лицами надо включить положения о соблюдении режима конфиденциальности и разграничении зон ответственности. Это не спасет от всех бед, но позволит клинике защититься в случае утечки данных не по ее вине.

Ошибка № 4. Персональные данные хранятся за границей

Базы персональных данных (серверы, облачные хранилища и т.п.) должны быть расположены на территории РФ. И медорганизации нужно обзавестись документами, подтверждающими это (ч. 5 ст. 18 Закона о персональных данных). К сожалению, клиники не всегда знают, что их базы данных находятся не в России (например, при применении гугл-форм для сбора данных).

Чтобы клинику не привлекли к административной ответственности, необходимо подтверждение размещения базы персональных данных на территории РФ. Избегайте работы с иностранными сервисами и облачными хранилищами.

За использование баз, находящихся за пределами России, предусмотрен штраф до 6 млн руб., при рецидиве – до 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ). И такие штрафы действительно назначают3.

(О том, как правильно обрабатывать и защищать данные, – читайте в статье «Комплексная защита персональных данных».)

1 Разъяснения Роскомнадзора: памятка по обработке персональных данных медицинскими организациями (https://42.rkn.gov.ru/p32466/p32472/), памятка для медицинских учреждений по актуальным проблемам обработки персональных данных (https://54.rkn.gov.ru/protection/p24018/).

2 Статья 16 Закона о защите прав потребителей, Определение Верховного Суда РФ от 5 октября 2018 г. № 306-АД18-16256.

3 Постановление Второго кассационного суда общей юрисдикции от 7 июля 2020 г. по делу № 16-3770/2020.

Резюмируя

Пример. Маркетологи интернет-магазина используют в работе для анализа поведения посетителей сайта Google Analytics. На странице есть личные данные клиентов магазина. Google Analytics — это иностранный сервис, без локализации баз данных в России. В данном случае владелец интернет-магазина фактически отправляет персональные данные клиентов иностранной компании в другую страну. Это трансграничная передача ПД (ТППД), о которой нужно уведомлять Роскомнадзор. Но владелец интернет-магазина этого не делает. Он думает, что это обязательно только для тех, у кого есть зарубежные партнёры.

С 1 марта 2023 года передавать иностранцам и иностранным организациям в другой стране личные данные россиян можно только после уведомления Роскомнадзора. Это обязательно по ч. 3 ст. 12 закона о персональных данных.

Как уведомить Роскомнадзор:

Если персональные данные передают в государство с адекватной защитой ПД, можно после уведомления не дожидаться ответа от Роскомнадзора. Список таких стран утверждён приказом Роскомнадзора от 05.08.2022 № 128.

Если личная информация попадает в страну, которой нет в списке, нужно подождать 10 рабочих дней. За это время Роскомнадзор рассмотрит уведомление и примет решение, можно передавать ПД иностранцу или нет. Если ведомство откажет в ТППД, то никакую информацию этому контрагенту отправлять нельзя.

Если Роскомнадзор запретил ТППД, а личные данные россиян к иностранцу уже попали, нужно обеспечить уничтожение ПД. Как это делать, в законе не сказано. Часто ИП может только направить письмо своему партнёру с просьбой уничтожить ПД, и на этом легальные способы заканчиваются.

Если вы используете Google Analytics, направьте уведомление в Роскомнадзор о ТППД или выберите для анализа сайта другие метрики.

Не уничтожают персональные данные

Пример. Компания искала бухгалтера через интернет и собирала резюме кандидатов. Кадровик получал от соискателей согласие на обработку персональных данных в целях выбора работника для закрытия вакансии. Бухгалтера нашли и приняли на работу. Но кадровик продолжает хранить «на всякий случай» резюме других кандидатов.

Все персональные данные после достижения целей обработки надо уничтожить или сдать в архив. На архивное дело законодательство о ПД не распространяется.

Если этого не сделать, то будет нарушение требований ч. 4 и ч. 6 ст. 21 закона о персональных данных. ИП может заплатить штраф до 100 000 рублей по ч. 1 ст. 13.11 КоАП РФ.

Проверьте, не храните ли вы лишнюю информацию. Например, данные бывших клиентов или уволенных работников. Посмотрите, что нужно сдать в архив, а что — уничтожить.

Обучите своих работников правилам обработки ПД. Объясните им, что не стоит копить личные данные граждан, если это не нужно по закону.

Инструкция, которая поможет разобраться, что такое персональные данные, кто и как с ними должен работать, а также какие изменения происходят в законодательстве о персональных данных и какая ответственность предусмотрена за его нарушение.

Кто должен соблюдать законодательство о персональных данных

По каким признакам определить, что вы работаете с персональными данными, а не с другими сведениями.

Кто обрабатывает персональные данные

Как определить, являетесь ли вы оператором по смыслу Закона № 152-ФЗ и какими способами обрабатываются персональные данные.

Как подготовиться к организации процесса обработки персданных

Чтобы оператору знать, на какие положения законодательства ему нужно ориентироваться, необходимо изучить пул НПА.

Какие категории персональных данных обрабатывает оператор

Чтобы определить правовой режим обработки персональных данных и закрепить его в своих ЛНА, оператор должен определить, какие персональные данные он намерен обрабатывать.

В каких случаях можно обрабатывать персональные данные

Если обработка персональных данных не подпадает ни под одно из условий, предусмотренных законом, она будет считаться неправомерной.

Как организовать процесс обработки персданных и не получить штраф

В статье расскажем, как работодателю правильно оформить документы в сфере персональных данных со своими сотрудниками и аутсорсинговой компанией, которая ведет бухгалтерский и кадровый учет оператора.

Как передавать персональные данные третьим лицам

Каждая компания сталкивается с тем, что документы, которые содержат персональные данные, необходимо куда-то отправить — в банк, налоговую, СФР или контрагенту. В статье разбираемся, каким образом передать персональные так, чтобы избежать штрафов.

Как оформить согласие на распространение персональных данных

Операторы, которые планируют размещать персональные данные субъектов в интернете, сначала должны получить их согласие на это. О том, как составить такое согласие, рассказываем в статье.

Как уведомить Роскомнадзор о трансграничной передаче персональных данных

Федеральный закон от 14.07.2022 № 266-ФЗ внес масштабные изменения в ст. 12 Закона о персональных данных — порядок уведомления Роскомнадзора о трансграничной передаче персданных полностью изменился. Подробнее об этом расскажем в статье.

Как обеспечить защиту персональных данных

Федеральный закон о персональных данных налагает на оператора комплекс обязанностей, которые не всегда ясно, как исполнять. Разбираемся, как правильно обеспечить надлежащую защиту персональных данных.

Кого и как уведомить об утечке персональных данных

1 марта 2023 года вступают в силу Приказы Роскомнадзора от 14.11.2022 № 187 и ФСБ РФ от 13.02.2023 № 77, которые утвердили порядок уведомления этих государственных органов об инцидентах, связанных с утечкой персональных данных. В статье даем пошаговый алгоритм действий.

Изменения в законодательстве

Каждого оператора коснется большая часть изменений, о которых мы рассказали в статье.

Роскомнадзор утвердил новые формы, которые будут использовать почти все операторы персданных

Опубликован Приказ Роскомнадзора от 28.10.2022 № 180. Он восполнил пробелы, которые возникли в связи с вступлением в силу масштабных изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Изменений в Законе о персональных данных, которые вступают в силу с 1 марта 2023 года

С 1 марта 2023 года вступает в силу вторая группа поправок, которые в Федеральный закон от 27.07.2006 № 152-ФЗ внес Федеральный закон от 14.07.2022 № 266-ФЗ. Большая часть из них коснется каждого оператора. В статье разберем все изменения и напомним об одной февральской поправке, которую вы могли пропустить.

Увеличили штрафы за нарушения законодательства о персональных данных

Опубликован Федеральный закон от 12.12.2023 № 589-ФЗ, который внес изменения в КоАП РФ. Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы. О том, как поправки повлияют на бизнес и к каким изменениям готовиться, рассказываем в материале.

Ответственность за нарушение законодательства о персональных данных

К ответственности могут привлечь как оператора персональных данных — организацию или индивидуального предпринимателя, так и отдельных должностных лиц, которые ответственны за обработку и хранение персданных. Разберем, какие виды ответственности существуют за нарушение Закона № 152-ФЗ.

Неправильная обработка данных пациентов может обернуться миллионными штрафами

Официальный сайтверховного суда российской федерации

Ошибка № 1. Неправильное оформление согласия на обработку персональных данных

Когда согласие не нужно. Каждый раз просить пациента подписать согласие на обработку данных – лишнее действие. Статья 6 Закона о персональных данных разрешает обрабатывать данные без письменного согласия, если их обработка необходима для достижения предусмотренных законами целей, осуществления законных полномочий и обязанностей или исполнения договоров. Наличие письменного согласия – лишь одно из правовых оснований для обработки данных, оно не является единственным.

Допустим, частная клиника обязана заключить с пациентом договор об оказании платных медицинских услуг до начала лечения. Вот вам и основание не брать согласие: обработка данных необходима для исполнения договора (п. 5 ч. 1 ст. 6 Закона о персональных данных). Что касается сведений о состоянии здоровья пациента (на эту категорию персональных данных распространяются специальные требования), то их обработка тоже законна в таком случае, поскольку осуществляется в целях установления диагноза и оказания медицинских услуг (п. 4 ч. 2 ст. 10 Закона о персональных данных)1.

В договоре об оказании платных медуслуг не нужно прописывать, что пациент дает согласие на обработку персональных данных2.

Когда согласие нужно. Заключение договора – не повод запрашивать у пациента «автобиографию»: где родился, на ком женился и т.д. Обрабатываемые персональные данные не могут быть избыточными по отношению к цели договора, они должны ей полностью соответствовать.

Например, клиника хочет делать рекламную рассылку. Для этого ей нужны Ф.И.О., телефоны и адреса электронной почты пациентов. Договор заключен для оказания медуслуг, а не для отправки рекламы. Поэтому придется взять у пациентов письменные согласия на обработку персональных данных, а также согласие на рекламную рассылку.

Найти медорганизацию, в которой правильно оформлено согласие, практически невозможно. Чаще это шаблон из Интернета, в который внесли только название клиники.

Как правило, в шаблонное согласие включают избыточный перечень персональных данных, там нет четкой цели их обработки или перечислены несколько целей, состав данных не соответствует цели обработки, не указан срок обработки и допущены еще десятки ошибок. Вишенка на торте – пациентам и работникам предлагают подписать одинаковое согласие. Конечно, так делать нельзя: одни приходят в клинику лечиться, другие – трудиться. То есть объем персональных данных и цель их обработки разные. В итоге клиника допускает сразу две ошибки: оформляет согласие, когда оно не нужно, да еще и некорректно это делает.

Содержанию согласия важно уделить внимание, поскольку это один из самых дорогих документов для операторов. За отсутствие согласия, когда оно необходимо, или за его некорректное содержание грозит штраф от 30 тыс. до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

В июне 2023 г. Госдума приняла в первом чтении проект поправок в КоАП РФ (законопроект № 353266-8). Они увеличат размеры штрафов за незаконную обработку персональных данных – как за первичное нарушение (до 700 тыс. руб.), так и за повторное (до 1,5 млн руб.).

В целом клиникам рекомендуется сформировать внутренний реестр работы с персональными данными. Это поможет понять, когда согласие нужно, а когда – нет, какие еще документы по работе с данными необходимо оформить. Реестр ведется в свободной форме и может предусматривать для каждой цели обработки перечень сведений, категории субъектов и проч.

Что будет, если передать персональные сведения сотрудников третьим лицам?

Часть 2 статьи 13.11 Кодекса об Административных правонарушениях устанавливает, что организации не могут распространять персональные данные сотрудников без их письменного согласия. В ином случае может быть наложен штраф в следующих размерах:

Клиники тоже операторы

Все медицинские организации являются персональных данных по смыслу Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона о персональных данных).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).

Законодательство налагает на операторов огромное количество обязанностей, которых с каждым годом становится только больше, как и санкций за их нарушение. Например, за несоблюдение требований к обработке и защите персональных данных могут назначить миллионный штраф по ст. 13.11 КоАП РФ.

Чтобы не пришлось платить штрафы, прежде всего не допускайте четыре распространенные ошибки.

Полезные советы от Роскомнадзора

Роскомнадзор опубликовал в августе 2023 года Рекомендации операторам персональных данных. Что он советует:

Собирают излишнюю личную информацию

Пример. Клиент интернет-магазина покупает товар с самовывозом из пункта выдачи заказов. Владелец магазина при оформлении заказа запрашивает с него: Ф.И.О., мобильный телефон, дату рождения, домашний адрес, паспортные данные, адрес электронной почты.

Предприниматель может собирать только те персональные данные, которые совместимы с целями их обработки. Запрашивая избыточную личную информацию с граждан, он нарушает ст. 5 закона о персональных данных. В примере c доставкой самовывозом домашний адрес клиента, e-mail и дата рождения продавцу не нужны.

За такое нарушение оператор ПД получит штраф по ч. 1 ст. 13.11 КоАП РФ. Для индивидуального предпринимателя он составит:

Проведите инвентаризацию всех бизнес-процессов: от заказа товара до его доставки клиентам и получения отзывов. Запишите, какую личную информацию граждан вы получаете и обрабатываете на всех этапах.

Оцените, какие персональные данные вам нужны для работы, а какие — нет. После этого уничтожьте или передайте в архив лишние ПД. Если необходимо, исправьте согласия на обработку ПД, убрав оттуда избыточные запросы.

С 1 марта 2023 года оператор ПД должен иметь Акт оценки вреда, который может быть причинён субъекту ПД при утечке его персональных данных. Документ составляют в соответствии с приказом Роскомнадзора от 27.10.2022 № 178. Оператор делает список всех видов ПД, которые он обрабатывает, и по каждому из них оценивает степень вреда: высокую, среднюю, низкую.

По возможности, исключайте обработку персональных данных с высокой степенью вреда, так как за них при нарушениях штраф может быть больше.

Оцените статью