Можно ли передавать персональные данные работников в другие организации

Опубликовано: 17.09.2024

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные". Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Из текста проекта следует, что новое согласие на распространение персданных должно содержать:

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).

Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).

Нельзя распространять общедоступные персональные данные без согласия

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Субъект может отозвать согласие на распространение персональных данных

Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):

  • Ф. И. О.;
  • контакты (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых должна быть прекращена.

Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).

Работодателям придется соблюдать новые правила в полном объеме

Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.

Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:

  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Об этом мы писали здесь. Но даже в перечисленных случаях во избежание возможных разногласий рекомендуется получить предварительное согласие работника на распространение его персональных данных.

Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?

В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.

Не пропускайте последние новости - подпишитесь
на бесплатную рассылку сайта:

Трудовое законодательство регламентирует передачу личной информации о сотрудниках третьим лицам не только в пределах одного предприятия, но и за его пределами.

Заключение трудовых договоров и коллективных соглашений между стороной работника и работодателя в сфере трудовых отношений предусматривает предоставление лицами полной и достоверной личной информации.

Однако законодательство обязывает работодателя контролировать безопасность и конфиденциальность хранения информации, а также позволяет эксплуатировать и передавать информацию третьим лицам на хранение при условии получения официального согласия гражданина. Таким образом, передача персональных данных работника входит в компетенцию работодателя и допускается при условии соблюдения законных нормативов и процедур.

Правила передачи персональных данных

Трудовое законодательство регламентирует передачу личной информации о сотрудниках третьим лицам не только в пределах одного предприятия, но и за его пределами. Согласно с общим постановлением эксплуатация личных сведений о подчиненном возможна исключительно при предоставлении его личного согласия. Данное согласие должно быть составлено в письменной форме и заверено подписью сотрудника.

Предусматриваются случаи, когда согласие подчиненного не требуется, тогда передача личных данных третьим лицам на хранение происходит в упрощенной форме. Законодательство предусматривает следующие случаи:

  • для обеспечения безопасности и предотвращения возможной угрозы жизни и здоровью сотрудника;
  • при условии наличия соответствующего локального или федерального нормативного акта.

В таких случаях все вопросы относительно оценки ситуации и принятия решения о предоставлении согласия от имени сотрудника являются компетенцией работодателя, который несет ответственность за жизнь и здоровье своих подчиненных.

Куда предоставляются сведения о работнике

Личные данные о сотруднике предоставляются на хранение третьим лицам, которые находятся на рядовых или руководящих должностях следующих учреждений и органов:

  • выборному органу из профсоюзного отдела, если возникает необходимость обоснованного увольнения сотрудника организации, который является членом профсоюзной организации;
  • уполномоченному органу, который наделил сотрудника возможностью осуществления представительства в процессе проведения коллективных трудовых переговоров.

Соответственно, работодатель имеет возможность предоставлять на хранение и использование личные данные посторонним лицам исключительно при условии наличия письменного согласия лица. К перечню такой документации относятся:

  • ведомости, которые содержат расчеты и платежные данные о размере и порядке выплаты заработной платы;
  • трудовой договор, который был заключен с руководящим должностным лицом;
  • личные данные работника, которые необходимы для составления списка сотрудников, которые на основании медицинского обследования не могут выполнять свои трудовые обязанности и др.

Обязанности работодателя и органы Пенсионного фонда РФ

Сторона работодателя должна сотрудничать с государственными учреждениями по пенсионному страхованию граждан, поэтому обязана предоставлять на хранение и использование личных данных сотрудников при наличии письменного согласия. Наиболее характерные случаи для предоставления информации следующие:

  • первичная регистрация гражданина для дальнейшего учета в системе по обеспечению обязательного пенсионного страхования;
  • в процессе оформления на работу сотрудников, которые ранее не имели страхового стажа и свидетельства;
  • в случае потери подчиненным свидетельства о пенсионном страховании;
  • при заключении гражданских договоров, которые включают материальные вознаграждения, выступающие элементом страховых взносов;
  • в процессе преобразования юридического лица или же прекращения предпринимательской деятельности физическим лицом;

Личное согласие сотрудника потребуется, когда работодатель предоставляет на хранение и обработку личных данных подчиненного в момент внесения изменений в данные сведения.

Право работодателя на запрос информации

Сторона работодателя наделена возможностью осуществлять официальный запрос любой информации, которая содержит в себе личные сведения о подчиненных. Для получения такой информации уполномоченное лицо может обратить в различные государственные учреждения, среди которых:

  • заведения, которые осуществляют медицинскую и социальную экспертизу. Такие случаи допустимы, если в особой трудовой рекомендации, которая устанавливается на основе программы реабилитации сотрудника с инвалидностью в индивидуальном порядке, выступают вопросы о возможности эксплуатации инвалида в конкретных трудовых условиях.
  • Государственные медицинские заведения, которые уполномочены выдавать беременным женщинам заключение, регламентирующее перевод на новую должность, для дальнейшего определения вида занятости и допустимого объема работ для сотрудницы.

Таким образом, для законной передачи и использования личной информации о сотрудниках работодатель должен в обязательном порядке получить письменное согласие от имени подчиненного, если иные случаи не предусмотрены трудовым законодательством.


В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Что такое персональные данные и что к ним относят

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).

К персональным данным, согласно данному закону, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Также существует классификация персональных данных. Их подразделяют на:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.

Немного подробнее по каждой категории.

Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.

Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,

Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.

К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,

информация о принадлежности к определенной социальной группе,

стаж работы и пр.

Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят , передают и уничтожают .

Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее .

Обработка персональных данных

Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.

Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  • сбор;
  • передача;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

В свою очередь, обработка может осуществляться тремя путями:

  • Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .

Что будет, если нарушить законодательство о персональных данных

Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  • обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
  • обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
  • неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.

Что делать, чтобы не попасть под штрафы

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:

  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

Все нужна регистрация в Роскомнадзоре?

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  • сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  • персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  • обработка персональных данных, находящимся в открытом доступе;
  • сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  • сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация обязательна!

Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс. жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб. Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

  1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст. 11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликованы разъяснения 1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.

На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);

отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019). В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия. Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

  1. Относится ли номер телефона к персональным данным?

Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.

Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО "Яндекс Справочник". Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019). Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было. Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных. Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

  1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

Что говорит законодательство?

В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.

По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;

не указан перечень организаций, в которые передаются персональные данные;

требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией. Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы. Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел. Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора. Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.


Персональные данные запрещается передавать без согласия владельца. Иначе оператора, выполнившего это, может ожидать административная, уголовная или гражданская ответственность.

Передача информации возможна только при соблюдении определенной процедуры и применения специальных мер для ее защиты. Для чего необходима передача персональных данных, что это такое и как происходит, расскажет данная статья.

Что это такое?

Сведения о фамилии, имени, отчестве, месте и дате рождения, а также его адресе, семейном, социальном статусе, доходах и активах, образовании относят к персональной информации, которая не может становиться публичной без согласия на это самого человека. Исчерпывающее определение этого понятия указано в законе «О персональных данных», принятом еще в 2006 году.

Передача данных возможна:

    (на территорию иностранного государства);
  • внутренняя (на территории РФ).

Защита данных не требуется только в том случае, когда они являются общедоступными либо обезличенными. Например, если информация о человеке размещена на его сайте или уже была использована в СМИ или других открытых источниках либо если сведения поданы в виде статистики для научных целей.

Можно ли передавать ее в другие организации?

Личную информацию о человеке передавать можно, но для этого необходимо заручиться его согласием. К примеру, работодатель должен получить от сотрудника письменное одобрение, за исключением случаев, когда передача сведений необходима в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ). Не допускается также передача информации в коммерческих целях, к примеру, для последующей рассылки спама или рекламы.

Какие данные работника охраняются законом:


  • номер паспорта;
  • контактные данные;
  • номер свидетельства о присвоении ИНН;
  • сведения о составе семьи, уровне дохода, штрафах;
  • номер страхового пенсионного свидетельства;
  • сведения из диплома, трудовой, медицинской книжки;
  • номер водительских прав и пр.

Речь идет о сведениях, который любой работник самостоятельно передает в бухгалтерию или отдел кадров, когда оформляется на работу. Сам работодатель эту информацию не собирает. Это не должно попасть в посторонние руки, например, в базу данных клиентов телефонной компании или любой другой коммерческой компании.

Работодатель также не вправе требовать отчета о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им своих обязанностей. Сведения о человеке (заполненная им анкета, личная карточка, результаты аттестации и пр.) могут быть переданы только специально уполномоченным лицам.

Личные сведения передаются и при регистрации в онлайн-магазинах. Для этого покупатель всегда ставит галочку в онлайн-форме договора о своем согласии. Передается информация и в других случаях: от устройства ребенка в школу и до получения кредита.

Даже если вы хотите подписаться на рассылку, где требуется предварительно заполнить анкету со сведениями о ваших доходах, семейном положении и прочем, необходимо будет давать согласие на обработку и хранение всех перечисленных сведений.

Кому можно получать?

Передавать данные можно всем, кто их запрашивает в рамках заключения договора (в том числе трудового) или другой деятельности.


Наиболее часто мы передаем данные банку, страховщику, лизинговой компании и другим коммерческим организациям, с которыми оформляем письменный договор. Защита информации о вкладах, кредитах и других договорах клиента очень важна, так как любая утечка может привести к взлому карточного или другого счета либо нарушить банковскую тайну клиента.

По законодательству вся информация об операциях клиента банка должна храниться на электронных носителях не менее пяти лет. В случае отзыва у банка лицензии, электронные носители должны быть переданы в Банк России. Защищаются только данные физлиц, поскольку на компании действие закона не распространяется.

Данные клиентов хранятся в системе Клиент-Банк, перевода денег, а также на сайте компании и других ресурсах. Для защиты сведений в банковских и других структурах используются самые разные технические и организационные меры, например, подсистемы контроля доступа, регистрации, межсетевой безопасности, антивирусные меры, средства для обнаружения вторжений. Операторы шифруют свои архивы, документы, каналы связи и используют пакетную коммутацию MPLS.

Особенности распространения личной информации

Передавать сведения в банки безопасно, так же как и в любые другие организации, которые работают с большим количеством клиентов, соблюдают все требования по защите данных и стремятся к тому, чтобы утечки ценных сведений не происходило.

С разрешения владельца

С согласия владельца передаются данные при любом заключении договора, а также при трудоустройстве. От работника в этом случае требуется письменное согласие. Если данные сотрудника, возможно, получить только у третьей стороны, то работодатель уведомляет его о запросе не позднее 5 рабочих дней.

Письменное согласие работника требуется:

  • при получении сведений у третьей стороны;
  • при обработке специальных категорий данных.

К спецкатегориям относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Для обработки этих данных нужно обязательное письменное одобрение сотрудника.

Без его согласия

Без согласия информация передается в том случае, если она обезличена (для статистических или иных научных целей) либо является общедоступной. Обработка биометрических данных может осуществляться без согласия только в связи с осуществлением правосудия, в целях безопасности, в рамках оперативно-розыскной деятельности, следствия.

Согласие работника не требуется, если обработка данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

Процедура отправки

Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.

Как передать данные третьим лицам:

После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.

Подготовка документов

Основной документ, подтверждающий готовность передать персональные сведения о себе, называется письменное согласие.

Это может быть документ, в котором указывается дата, персональные данные и контакты, а также дается разрешение на их передачу. Либо пользователь принимает его путем регистрации на сайте или подачи заявки на получение товара или услуги. В последнем случае достаточно будет просто поставить отметку напротив соответствующей фразы.


  • Ф.И.О., адрес, номер паспорта;
  • наименование и адрес оператора;
  • цель обработки, перечень данных и действий с ними;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие дается на срок действия договора и в течение 5 лет после его окончания. Отзыв согласия может быть произведен в письменной форме не ранее даты прекращения договора или даты исполнения обязательств в соответствии с ним.

Согласие дается на целый ряд действий: от сбора до уничтожения и трансграничной передачи. Обработка осуществляется путем хранения, записи на электронные носители и их хранение, составления перечней, маркировки. Если вы регистрируетесь на сайте, то оператор должен разъяснить, как может быть отозвано согласие и что для этого нужно сделать.

Трудовой договор

При заключении письменного договора с работодателем иногда дается одновременное согласие на передачу данных. Оформляется оно в виде отдельного пункта соглашения. Подписывая договор, работник одновременно дает согласие. В пунктах соглашения может быть отражено, какие именно данные будут обрабатываться.

Согласие работника действует со дня заключения договора до прекращения трудовых отношений и может быть отозвано. После заключения договора, сведения о работнике можно, например, публиковать на сайте компании (например, информацию об образовании, возрасте и пр.).

Каналы

Передавать данные можно из рук в руки, когда вы заключаете письменный договор, по открытым каналам связи (например, по телефону), а также по электронной почте. Передача может осуществляться внутри страны или за ее пределами (трансграничный вариант). Прежде чем рассказывать личную информацию о себе по телефону или высылать по электронной почте стоит убедиться, что это действительно необходимо и безопасно.

Досрочный отзыв

В любой момент, даже если данные уже переданы, можно запретить их обработку и хранение другими лицами. В случае отзыва согласия оператор обязан по закону прекратить обработку и уничтожить их в течение месяца.

Как отозвать разрешение на обработку данных:

Например, часто отказываются от дальнейшей обработки и хранения медицинских данных родители детей, которые передавали их при оформлении в детские сады. Для этого пишется отзыв согласия в виде заявления на имя руководства учреждения. Аналогичные действия могут предпринимать и жильцы дома, которые протестуют против опубликования списка должников по коммунальным услугам.

Оформление заявления

В заявлении необходимо указать:

  • сроки прекращения;
  • просьбу о письменном уведомлении о результатах рассмотрения заявления.

Нужно перечислить и какие именно данные нужно перестать обрабатывать. Например, если заявление составляется для банка, то речь может идти об адресе и регистрации, контактах работодателей, телефонов (личных и, например, поручителей, родственников). К заявлению может быть приложена копия договора и паспорта заявителя.

Запрет на отправку своих сведений


Если владелец данных не намерен передавать их в другие организации, например, при заключении договора, то он может просто отказаться от его подписания. Подписать договор, наложив запрет на передачу данных зачастую просто невозможно. Отказ от обработки данных делает невозможным заключение договора.

Точно также нельзя отказаться от передачи данных при трудоустройстве. Однако владелец данных всегда может отозвать их, если он считает это необходимым, написав заявление об отзыве.

Обращение в суд в случае несанкционированного разглашения

Подается исковое заявление по месту жительства истца или ответчика. Госпошлина при подаче иска составляет 200 рублей. Оператора также можно привлечь к административной или уголовной ответственности.

Полезное видео

Смотрим видео о защите и передаче персональных данных:

Заключение

Персональные данные можно использовать во вред владельцу, например, в мошеннических целях. Именно поэтому их сбор, обработка и хранение охраняется законом.

Запрещается передача сведений о человеке без его согласия в любые сторонние организации. Всегда требуется запрашиваться согласие на обработку и передачу личной, а тем более биометрической информации о владельце. Согласие на обработку и хранение можно отозвать в любое время. При нарушении прав можно обращаться за их защитой в суд или с жалобой в Роскомнадзор.

Читайте также: