152-ФЗ: ответы на непростые вопросы по защите персональных данных
Сфера защиты персональных данных не настолько прозрачна, как это может показаться на первый взгляд. Когда начинаешь работать с персональными данными клиентов и сотрудников, появляются вопросы, ответы на которые непросто найти в Интернете.
Мы подготовили самые распространенные и непростые вопросы по защите персональных данных согласно 152-ФЗ и задали их эксперту по информационной безопасности – Плескачу Константину.
Плескач Константин – специалист по информационной безопасности.
Размер зарплаты — это персональные данные?
- Да, информация о заработной плате сотрудника не должна разглашаться работодателем и третьими лицами – это подтверждается судебной практикой. Был случай, когда сотрудник частной организации, получив доступ к данным коллег через «1С», распространил сведенья о повышении зарплаты другого сотрудника. Это было признано грубым нарушением трудовых обязанностей и стало причиной его увольнений (апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).
Помните, что к персональным данным относятся не только сведенья о зарплате, но и прочие данные сотрудников и клиентов компании, которые являются ценным активом и также подпадают под действие режима коммерческой тайны. Поводом для увольнения является не сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников, а факт их публичного разглашения.
В судебной практике были случаи, когда отправку сведений на email, в мессенджеры или копирование на флеш-карту признавали как разглашение информации. Это подтверждается Конституционным судом, определение КС РФ от 28.02.2019 №457-О.
Все ли фотографии и видеозаписи конкретного лица являются его персональными данными?
- Не все, а только те, которые дают возможность установить личность. Согласно пояснениям Роскомнадзора, к персональным данным не относятся:
- ксерокопия паспорта, предоставляемая при заключении договора с банком;
- фотография в личном деле или рентгеновские и флюорографические снимки.
Видеосъемка в общественных местах или на территории, которая охраняется, не является нарушением закона 152-ФЗ до тех пор, пока видеозаписи или фотографии не передаются в компетентные органы, где устанавливается личность снятого человека.
Однако фотоизображения на пропусках признаются биометрическими данными, поэтому, чтобы их использовать правомерно, необходимо получить письменное согласие гражданина.
Являются ли общедоступными персональные данные, размещенные в социальных сетях?
Нет. По выводам российских судов, размещение персональных данных в открытом Интернет-пространстве не делает их автоматически общедоступными.
Не хотите самостоятельно разбираться в требованиях 152-ФЗ?
Обратитесь к нашим специалистам – мы поможем вам подобрать верное решение для работы с персональными данными.
Оставить заявкуМожно ли получать согласие на обработку персональных данных через Интернет или по телефону?
Согласно ст. 9 закона «О персональных данных» 152-ФЗ, можно получать согласие в форме электронного документа, а не письменно, однако документ должен быть заверен электронной подписью. При этом закон не предусматривает получение согласия по телефону или по СМС.
Можно ли отозвать данное ранее согласие?
Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.
В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.
Какие права есть у лица в отношении собственных персональных данных?
В соответствии со статьей 14 закона «О персональных данных» 152-ФЗ, граждане имеют право получать подтверждение:
- самого факта обработки данных;
- информацию об источнике данных;
- целях и способах обработки;
- сроках;
- операторе, который работает с данными.
Однако есть исключения, при которых эти права могут быть ограничены – обстоятельства перечислены в п. 8 ст. 14. Например, если конфиденциальные данные получены в результате оперативно-розыскной деятельности или если субъект подозревается или обвиняется в совершении уголовного преступления.
Какие нарушения в отношении персональных данных встречаются чаще всего?
Среди наиболее частых встречаются следующие:
- неполучение у гражданина согласия на обработку его персональных данных;
- неполучение согласия на передачу его персональных данных для обработки третьим лицам;
- неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;
- неполучение согласия на обработку биометрических персональных данных;
- нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.
Может ли гражданин добиваться возмещения вреда?
- Да, по закону граждане, чьи персональные данные были разглашены и в случае, если это нарушило закон 152-ФЗ, могут добиваться возмещения как материального ущерба, так и морального вреда.
Уверены, что в вашей организации соблюдаются все нюансы 152-ФЗ?
Закажите услуги по аттестации рабочего места на предмет защиты персональных данных.
Оставить заявкуТакже Верховный суд подтверждает возможность требовать взыскания с коллекторского агентства, которое не единожды звонит или отправляет сообщения на мобильный номер гражданина с требованием погасить задолженность по кредиту без согласия на обработку его персональных данных.
Размер возмещения составляет 3 000 – 5 000 тыс. руб., поэтому на крупные суммы рассчитывать не стоит.
