Необходима судебная практика в части нарушений порядке обработки персональных данных сотрудников? - Komsindrom.ru

Необходима судебная практика в части нарушений порядке обработки персональных данных сотрудников?

Содержание

Как работодателю не налететь на штраф из-за защиты персональных данных

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес места регистрации/места жительства;
  • сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
  • сведения о трудовом (страховом) стаже;
  • сведения о привлечении работника к материальной ответственности;
  • сведения о состоянии здоровья и результатах медицинского обследования работника;
  • любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Источник получения персональных данных

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Однако из данного правила имеются исключения. В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора. Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется. Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

  • в Фонд социального страхования РФ, Пенсионный фонд РФ;
  • в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
  • когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличия у работодателя доверенности на представление интересов работника;
  • когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника. Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу). По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников. Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации. Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

Судебная практика по защите персональных данных

Защита персональных данных
с помощью DLP-системы

Р азличные нарушения закона о персональных данных, выписанные предписания Роскомнадзора и протоколы о привлечении к административной ответственности вынуждают юридических лиц прибегать к защите суда. Существующая судебная практика неоднородна, но достаточна интересна. Уже можно говорить, что у судов сложилась единая позиция по поводу тех или иных нарушений закона о защите персональных данных. Споры относятся к разным категориям, и многие из них основываются на неверном понимании гражданами, организациями и государственными органами закона о персональных данных.

Системные споры

Сама система защиты персональных данных уже стала предметом судебного оспаривания. Наиболее интересные споры попадают на рассмотрение Конституционного и Верховного судов, менее системные, но значимые остаются на уровне окружных. Знание практики применения закона судами поможет операторам и частным лицам избежать рисков нарушения закона и понять, что в определенных случаях заручиться судебной защитой будет невозможно.

Так, недавно в Конституционном суде РФ состоялось слушание по вопросам конституционности нормы закона, запрещающей операторам предоставлять обрабатываемые ими персональные данные третьим лицам. Заявитель, обратившийся за информацией о своих коллегах и получивший отказ оператора предоставить персональные данные, обратился в Конституционный суд, сочтя, что такой отказ нарушает его право на защиту, а норма закона является неконституционной. Суд (определение № 1158-О) отказал заявителю, подчеркнув, что право гражданина на защиту информации о своей частной жизни является безусловным.

Существенную часть споров о неправомерном распространении персональных данных составляют споры со средствами массовой информации, часто публикующими информацию о личной жизни граждан. Верховный суд постановил, что Роскомнадзор вправе принять решение о закрытии СМИ, если оно регулярно распространяет информацию о личной жизни граждан и иным образом нарушает законодательство о персональных данных. Так, одна из газет Краснодарского края несколько раз опубликовала не только имя и фамилию несовершеннолетней, но и номер школы, в которой она обучается. После получения письменного предупреждения ведомства публикация персональных данных несовершеннолетних, нарушающая в том числе закон о СМИ, не прекратилась. Решением краевого суда деятельность газеты была прекращена, Верховный суд РФ в Определении № 18-АПГ 15-7 счел нарушение существенным, а это решение правомерным.

Помимо закрытия газеты, за нарушение закона о персональных данных может наступить гражданско-правовая ответственность в виде возмещения морального вреда. Суд по Санкт-Петербургу и Ленинградской области счел нарушением законодательства публикации фотографии гражданина и сведений о нем без получения его согласия на распространение персональных данных. Суд взыскал с газеты «Комсомольская правда» в пользу гражданина моральный ущерб за публикацию его персональных данных.

Читайте также:  Праздничные дни в январе 2018 года в России

Предоставление персональных данных по запросу государственных органов также остается камнем преткновения. Закон прямо запрещает их распространение, и иногда операторы, во избежание рисков получения предписания от Роскомнадзора, отказывают в их передаче государственным органам, в том числе и ФАС РФ. В одном из таких случаев ФАС запросила у оператора мобильной связи информацию о владельце телефонного номера, с которого поступали многочисленные рекламные сообщения. За отказ предоставить персональные данные организация была оштрафована. Суд счел, что ФАС действовал в соответствии с законом, а оператор связи обязан был предоставить запрошенные персональные данные.

Такие споры редки, первое разбирательство состоялось в 2016 году, второе – в 2015-м. Чаще встречаются менее значимые, но имеющие практическое значение дела по вопросам неправомерного распространения персональных данных или иным способам их использования.

Важным системным вопросом для организаций и предприятий, принимающих сотрудников на работу и реализующих продукцию через интернет-магазины, стал вопрос о необходимости уведомлять Роскомнадзор о начале деятельности по обработке персональных данных в следующих трех случаях:

  • компания обрабатывает персональные данные людей, ищущих работу, а именно: собирает резюме, анализирует их, вносит данные, полученные путем анализа резюме, в свои информационные базы;
  • использует специальное программное обеспечение, при помощи которого обрабатывает персональные данные соискателей и работников;
  • применяет аналогичные программы для обработки данных клиентов, полученных по телекоммуникационным каналам связи.

Четвертый арбитражный апелляционный суд во всех трех случаях счел, что уведомлять о начале деятельности по обработке персональных данных не надо.

Иные категории споров

Каждый гражданин в обычной жизни сталкивается с ситуацией, в которой он предоставляет свои персональные данные. Это создание личного кабинета в интернет-магазине, заполнение анкеты для получения дисконтной карты, оформление абонемента в бассейн. Иногда при этом заполняется согласие на обработку персональных данных, иногда организации, оказывающие услуги, забывают об этом требовании закона. Мало кто задумывается о том, насколько бережно хранятся, переданные оператору данные. Но одна ситуация постоянно вызывает споры и вопросы. Является ли предоставлением персональных данных предъявление паспорта на кассе магазина и оформление заявления при возврате товара? Суд счел, что нарушением законодательства о персональных данных эта ситуация не является. Ситуация возникла по заявлению гражданина в ФАС РФ, который счел, что внесение паспортных данных в заявление на возврат товара и в приходный ордер является обработкой персональных данных, осуществляемой не в соответствии с требованиями закона. Магазин был оштрафован. Суд не отнес эту ситуацию к неправомерной обработке персональных данных и отменил штраф.

Столь же интересной стала ситуация с фотографиями. Фото как объект, содержащий биометрические сведения, может быть отнесено к персональным данным. В одном из дел было установлено: чтобы использовать фотографию для оформления пропуска в бассейн, необходимо получить согласие гражданина на получение его персональных данных. Если с 2013 года эта ситуация рассматривалась только как спорная позиция Роскомнадзора, и мало кто из организаций воспринимал это как рекомендацию к действию, то после решения суда, ее подтвердившего, в каждой из ситуаций использования фото для оформления пропуска или личного дела придется оформлять согласие на обработку персональных данных.

Достаточно часто при подписании согласия на обработку персональных данных граждане обращают внимание на то, что соглашаются на передачу своих сведений третьим лицам. Далеко не всегда эти третьи лица указываются подробно. Роспотребнадзор очень часто поправлял банки, которые не конкретизировали такие перечни. В последнее время четыре апелляционных суда поддержали позицию Роспотребнадзора, обратив внимание банков на то, что перечень лиц, которым передаются персональные данные, должен быть конкретным.

Но системные проблемы решаются не так часто, как возникают типовые проблемы у медицинских или образовательных учреждений, руководители которых при оказании своих профессиональных услуг не всегда оформляют у клиентов согласие на обработку персональных данных. Так, в одной из клиник Самарской области при проведении медицинских осмотров персональные данные граждан вносились в амбулаторные карты, при этом согласие на такую обработку от них не получалось. За это нарушение мировой суд привлек директора медицинской организации к ответственности по ст. 13.1 КоАП и оштрафовал на 500 рублей. Областной суд полностью согласился с мировым. Таким образом, теперь медицинская организация при оказании любого вида медицинской помощи, при которой получаются для внесения в амбулаторные карты или в отчетность персональные данные пациентов, обязана оформлять согласие.

Если рассматривать практику применения этой нормы по всей стране, можно увидеть, что случаи привлечения к ответственности пока являются единичными и нарушители отделываются минимальными штрафами.

Истцы и ответчики

Вне зависимости от того, как формируется практика, необходимо проанализировать типичных истцов и ответчиков по спорам этих категорий. Существует две категории истцов:

  • граждане, считающие свои права на охрану персональных данных и на их получение ущемленными и направляющие иски к организациям;
  • государственные органы, отстаивающие свое право на привлечение операторов персональных данных к ответственности.

Юридические лица – операторы персональных данных – обычно выступают в роли ответчиков. Только в спорах о том, в каком случае не нужно производить уведомление Роскомнадзора, они становятся истцами и с успехом выигрывают споры. Если юридическое лицо становится ответчиком по спорам, связанным с персональными данными, то чаще всего оно постоянно взаимодействует с неограниченным кругом физических лиц и не всегда точно соблюдает нормы законодательства о персональных данных, в ряде случаев неправомерно передавая их третьим лицам. Среди таких ответчиков:

  • газеты и иные СМИ;
  • магазины;
  • банки;
  • мобильные операторы.

Зачастую аналогичная ситуация становится предметом судебного разбирательства в случае, если на нее обратило внимание частное лицо, и не попадает в поле зрения суда и Роскомнадзора в десятках других случаев, когда требуется согласие на обработку персональных данных. Интересом частного лица часто становится возмещение морального вреда в материальной форме, для него не имеет значения, нормы какого законодательства, о правах потребителя или о защите персональных данных, были нарушены.

Анализируя судебную практику, можно увидеть, что очень часто суды поправляют государственные органы, неверно интерпретирующие свои права. Но столь же часто они встают на защиту интересов граждан и охрану тайны их личной жизни, запрещая неправомерное распространение персональных данных.

Судебная практика: Согласие на обработку персональных данных контактных лиц, указанных заемщиками

Споры о том, нужно ли получать согласие на обработку тех или иных персональных данных (ПДн), и от кого, идут уже давно. Из-за ужесточения наказаний за нарушение законодательства о персональных данных (см.: http://rusrim.blogspot.ru/2017/02/blog-post_42.html ) в ближайшее время можно ожидать увеличения количества судебных споров по данному вопросу.

Судебная коллегия по административным делам Санкт-Петербургского городского суда вынесла в январе 2017 года решение по административному делу № 2а-6384/2016 (апелляционное определение № 33а-2104/2017), в котором речь шла о персональных данных (ПДн) контактных лиц, которых граждане указали при получении микрозаймов. Суд должен был ответить на вопрос о том, нужно ли с этих граждан получать согласие на обработку их персональных данных.

ООО «Константа» занимается взысканием кредитной задолженности по договорам цессии, заключенным с микрофинансовыми организациями. В отношении общества прокуратурой Красногвардейского района Санкт-Петербурга была проведена проверка соблюдения требований законодательства о персональных данных.

По результатам проверки было вынесено представление, в котором было указано на несоответствие действий общества требованиям законодательства, в частности по обработке ПДн лиц, указанных заемщиками в анкетах на получение микрозайма, в отсутствие их согласия на обработку их ПДн.

Общество обратилось в суд.

Позиция Красногвардейского районного суда Санкт-Петербурга

Суд первой инстанции в октябре 2016 года пришел к выводу, что общество, после заключения с ООО МФО «ГАЛАКТИКА 1» договоров уступки прав требований, обязано было проверить наличие согласия указанных заемщиками лиц на обработку их персональных данных, однако доказательств, свидетельствующих об исполнении названной обязанности, в материалы дела не было представлено.

Кроме того, суд указал, что в материалы представлены доказательства, опровергающие доводы общества о невозможности идентификации субъектов ПДн по сведениям, указанным в анкетах заемщиков.

Решением Красногвардейского районного суда Санкт-Петербурга в удовлетворении заявленных требований ООО «Константа» было отказано в полном объеме.

Позиция судебной коллегии по административным делам Санкт-Петербургского городского суда

Суд отметил, что между ООО «Микрофинансовая организация «ГАЛАКТИКА 1» (ранее ООО «Резерв») и заемщиками в 2014-2015 годах были заключены договоры потребительского займа (микрозайма).

Одним из условий этих договоров (пункт 8.3) было согласие заемщиков на обработку персональных данных, предоставленных кредитору, а также на их передачу третьим лицам в целях исполнения кредитором своих обязательств и обеспечения (осуществления) прав (в том числе, на передачу агентству по сбору задолженности).

В феврале 2014 года между обществом и ООО «СК 2» был заключен договор об уступке прав требования, в соответствии с условиями которого цедент уступает цессионарию свои права требования по договорам микрозайма в полном объеме на условиях, существовавших на момент подписания договора и дополнительных соглашений.

В марте 2015 года цедентом были переданы цессионарию документы, связанные с заключением договоров микрозайма. В число передаваемых документов вошли анкеты (заявления), заполняемые заемщиками перед получением кредитных денежных средств, в соответствии с правилами предоставления микрозаймов общества. В числе сведений, подлежащих указанию в анкете, значатся сведения о контактных лицах (родственниках) заемщиков (пункт 8 анкеты).

Заемщиками были представлены все требуемые сведения, в том числе сведения о дате его рождения, о документе, удостоверяющем личность, об адресе его регистрации по месту жительства, адресе фактического проживания, представлена контактная информация о заемщике в части указания номера мобильного телефона, а при наличии, и рабочего номера телефона, сведения о семейном положении заемщика, фамилии, имени, отчестве супруга, дате рождения, номере его мобильного телефона.

В анкетах также имеются сведения о контактных лицах заемщика с указанием степени родства, и номерах их контактных телефонов; имеются данные о размере суммы ежемесячного дохода, а также сведения об иных источниках дохода при наличии таковых.

Суд отметил, что действующим законодательством предусмотрен определенный перечень действий (операций), влекущих за собой обработку ПДн физических лиц. Перечисленные в законе операции обладают самостоятельным характером, т.е. каждое из указанных действий является достаточным для вывода о наличии факта ПДн субъектов. Нарушение алгоритма и порядка осуществления какой-либо конкретной операции влечет за собой нарушение требований законодательства о персональных данных в целом.

Суд подчеркнул, что согласие на обработку ПДн может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Обязанность предоставить доказательства получения согласия возлагается на оператора.

Судебная коллегия согласилась с выводом суда о том, что, получив информацию о заемщиках и их контактных лицах, с учетом отсутствия личного согласия последних на обработку представленной заемщиком в отношении них информации, у общества отсутствовали основания для ее обработки в виде сбора, систематизации, накопления, хранения.

Читайте также:  Предложение вакантной должности

Судебная коллегия также учла, что в рамках договора цессии общество обладает ПДн контактных лиц, что само по себе свидетельствует о нарушении последним требований действующего законодательства о персональных данных в той степени, в которой в отсутствие их согласия предоставляет обществу возможность ознакомления с их ПДн, а, соответственно, их хранение и иные юридически самостоятельные действия, отнесенные к процедуре их обработки.

Суд сделал вывод о том, что одно лишь наличие у общества анкет заемщиков, переданных ему по договорам уступки прав требований, подтверждает нарушение требований действующего законодательства в части обработки ПДн. Суд подчеркнул, что при этом не имеет значения для дела наличие на момент вынесения оспариваемого представления фактических действий или операций, связанных с их обработкой.

Судебная коллегия отметила, что материалы дела не содержат сведений о наличии согласия на обработку персональных данных именно контактных лиц заемщиков.

Наличие в анкетах подписи фактических заемщиков по договорам микрозайма, свидетельствующих об их согласии на указанную обработку данных, само по себе не подменяет и не заменяет личное согласие контактных лиц заемщиков, обладающее признаками конкретности, информированности и осознанности.

Суд не принял доводы апелляционной жалобы общества о том, что такого рода информация, как сведения о номере мобильного телефона, не позволяет идентифицировать личность, которому принадлежит данный номер мобильной связи.

Сама по себе информация о номере мобильного телефона, с учетом указания фамилии, имени и отчества абонента, дает возможность идентифицировать личность абонента; обладает ограниченно доступным характером, а потому, не может быть распространена неопределенному кругу лиц. Соответственно данная информация в том виде, в котором она отображена в анкетах (заявлениях) заемщиков и передана административному истцу в порядке исполнения условий договора цессии, способствует идентификации и конкретизации контактных лицах заемщиков, в силу чего подлежит отнесению к категории персональной информации.

Судебная коллегия оставила без изменения решение Красногвардейского районного суда Санкт-Петербурга, апелляционную жалобу ООО «Константа» — без удовлетворения.

Судебные споры по законодательству о персональных данных

В июле 2011 года вступила в силу новая редакция Федерального закона «О персональных данных» (далее – «Закон»), которая в ряде случаев коренным образом изменила подход к некоторым важным проблемам, связанным с обработкой персональных данных. Однако с момента принятия закона прошло всего несколько месяцев. Кроме того, пока не издан целый ряд подзаконных актов, предусмотренных новой редакцией Закона. В этой связи практика применения новой редакции Закона (в том числе, судебная практика) пока не сформировалась. Но даже несмотря на это 2011 год был богат на громкие инциденты с персональными данными, многие их которых дошли до суда. Это и дело rusleaks.com, и опубликование «чувствительных» данных о клиентах интернет-магазинов, и прослушивание телефонных разговоров известных политиков, и многое другое.

В этой статье речь пойдет о нескольких не столь громких, но тем не менее интересных прецедентах, связанных с исками обладателей (субъектов) персональных данных в отношении неправомерного разглашения персональных данных в Интернете. Данные решения позволяют, в первую очередь, понять подходы судов к законодательству о персональных данных, глубину их понимания и восприятия проблематики регулирования. Кроме того, в статье будет затронуто известное дело о передаче данных должников «коллекторам».

1) Администратор домена обязан обеспечивать конфиденциальность обрабатываемых на сайте персональных данных

Решение Мещанского районного суда г. Москвы от 5 октября 2010 года по делу № 2-2340/2010/Определение Московского городского суда от 14 февраля 2011 года по делу № 33-2064/Решение Мещанского районного суда г. Москвы от 10 мая 2011 года по делу № 2-3518/2011

Истцом в деле является физическое лицо, ответчиком – администратор (физическое лицо) интернет-сайта. В соответствии с материалами дела в разделе сайта «Форум» были размещены персональные данные истца, включая фамилию, имя, дату рождения, место работы, должность, образование, домашний телефон (другими словами, резюме). При этом истец утверждает, что согласия на размещение этих данных он не давал, и просит суд обязать ответчика уничтожить данные и компенсировать ему моральный вред и судебные расходы (включая стоимость услуг нотариуса, который составил протокол осмотра сайта).

Первоначально суд первой инстанции отказал истцу в удовлетворении иска, однако это решение было отменено в кассационной инстанции (еще до введения апелляционной инстанции), и в дальнейшем при новом рассмотрении дела в новом составе требования истца были частично удовлетворены. На трех страницах решения суд практически полностью цитирует старую редакцию Закона и приходит к выводу, что администратор домена, как оператор персональных данных, обязан обеспечивать конфиденциальность собираемых и обрабатываемых им персональных данных. В этой связи суд, в частности, обязал ответчика «уничтожить персональные данные… и запретить их обработку и распространение в сети Интернет». Во взыскании компенсации морального ущерба Истцу было отказано, поскольку факт причинения Истцу нравственных страданий, с точки зрения суда, последним не был доказан.

Из этого решения суда следует три основных вывода:

  • Во-первых, если пользователи сайта имеют возможность публиковать на нем какую–либо информацию (например, в разделе «гостевая», на форумах и т. д.), то администратор домена может понести ответственность за такого рода публикации, если при этом раскрываются чьи-то персональные данные! Этот прецедент является весьма опасным для таких интернет-компаний как операторы социальных сетей и т. д. В качестве рекомендации в этой связи можно отметить необходимость размещения на сайте подробной и составленной в соответствии с требованиями Закона политики в отношении обработки и защиты персональных данных.
  • Во-вторых, по результатам рассмотрения иска о прекращении обработки персональных данных можно получить предписание, выполнить которое практически невозможно (как это произошло в данном деле). Речь идет о вышеуказанном предписании запретить обработку персональных данных и их распространение в сети Интернет. С учетом того, как функционирует «всемирная паутина», тиражирование данных, которые однажды попали в сеть (даже если они пробыли там недолгое время), происходит достаточно быстро. Остается непонятным, каким образом можно администратору домена (который не имеет властных полномочий, кроме как в отношении своей собственности) обеспечить прекращение обработки данных на других независимых ресурсах, и может ли администратор домена понести ответственность, если где-то еще «всплывут» удаленные с сайта данные. Безусловно, этот риск необходимо учитывать при ведении в России бизнеса с использованием Интернета.
  • В-третьих, как правило истцам (субъектам персональных данных) не удается обосновать какой-то реальный ущерб, причиненный им незаконным использованием их персональных данных, в связи с чем они требуют возмещения морального вреда. Однако суды либо отказывают им в таком возмещении, либо присуждают крайне малозначительные суммы. Поэтому по состоянию на настоящее время можно осторожно предположить, что вала исков субъектов персональных данных ждать не приходится, поскольку никакой финансовой выгоды такие иски для их заявителей, как правило, не приносят, а иногда ведение такого процесса (рассмотренное дело длилось с момента подачи иска до момента вынесения окончательного решения больше 2 лет) является просто убыточным.

2) Работодателя наказали за внесение бывшего работника в «черный список»

Решение Симоновского районного суда г. Москвы от 9 сентября 2010 года по делу № 2-5042/10/Определение Мосгорсуда от 2 февраля 2011 года по делу № 33-2643

Истцом в деле является бывший продавец в аптеке, а ответчиком, соответственно, бывший работодатель, ветеринарная клиника. Суть спорной ситуации заключалась в том, что компания-работодатель после увольнения сотрудника разместила на профессиональном интернет-форуме информацию о неблагонадежности этого работника. В частности, последний был обвинен в воровстве. Обнаружив это, работник обратилась в суд за защитой чести и достоинства, требованием обязать бывшего работодателя опровергнуть порочащие его сведения, признать незаконной обработку его персональных данных и т. д. Суд частично удовлетворил иск бывшего работника.

В первую очередь, данное решение является прецедентом, который ставит под сомнение законность любых «черных списков» неблагонадежных работников, поскольку даже если информация, которая содержится в таких списках, соответствует действительности и может быть подтверждена доказательствами, опубликование этой информации является незаконным.

Кроме того, особенностью данного решения, оставленного в силе судом кассационной инстанции, является то, что истец заявлял требование, среди прочего, о признании незаконной обработки его персональных данных, однако суд проигнорировал это требование, основывал свое решение исключительно на нормах гражданского законодательства, связанных с защитой чести и достоинства, и не ссылался на законодательство о персональных данных. Это отражает общую тенденцию – суды общей юрисдикции, в ведении которых находится большое количество споров, связанных с обработкой персональных данных граждан, до настоящего момента имеют весьма ограниченное представление о соответствующем законодательстве. В качестве интересного факта можно отметить, что в электронных картотеках решений на сайтах судов такая категория дел как дела, вытекающие из нарушения законодательства о персональных данных, вообще отсутствует.

Таким образом, если говорить о содержании решения, то из него следует вывод о том, что распространять персональные данные можно только при условии наличия на то законных оснований (например, не является нарушением конфиденциальности публикация решения суда, в котором содержатся персональные данные бывшего работника – при этом фактически такая публикация как нельзя лучше отвечает целям, которые преследует работодатель, предупреждая сообщество о нелояльном сотруднике). Если же говорить о косвенном выводе, который следует из решения (недостаточно хорошее знание судами законодательства о персональных данных), то это также необходимо учитывать компаниям при совершении тех или иных действий (особенно если речь идет об опубликовании) с персональными данными (либо тщательно обосновывать свою позицию в случае обработки персональных данных, если это может вызвать споры, либо изначально искать дополнительные аргументы в пользу своих прав и законных интересов в этой связи (помимо закрепленных в законодательстве о персональных данных)).

3) Передача персональных данных должника «коллектору» признана законной

Решение Арбитражного суда Пермского края от 14 декабря 2011 № дела А50-22009/2011

Теперь обратимся к практике арбитражных судов, в которой уже начинаются складываться определенные подходы к принятым этим летом новеллам законодательства о персональных данных.
Арбитражным судом Пермского края принято решение, которое можно считать прецедентным. Изменит ли оно сложившуюся невыгодную для бизнеса практику?

Истцом в деле выступает ОАО «Вымпел-Коммуникации» (компания группы Билайн), а ответчиком – Управление Роспотребнадзора [1] по Пермскому краю. Истец оспорил предписание Роспотребнадзора (выданное по результатам проверки) об исключении из стандартного договора на оказание услуг связи условия о предоставлении третьим лицам, привлеченным оператором связи для взыскания задолженности, информации об абоненте, полученной в рамках договоров и необходимой для взыскания задолженности. Суд встал на сторону оператора связи и принял решение об отмене вышеуказанного предписания.

Читайте также:  Можно отменить оплату за квалификационную категорию после срока ее действия?

В обоснование своей позиции суд ссылается на новую норму Закона, закрепленную в ч. 3 ст. 6, касающейся права оператора персональных данных поручить обработку данных другому лицу с согласия субъекта персональных данных третьему лицу на основе заключенного с последним договора. Примечательно, что суд фактически признает в качестве такого согласия общим образом сформулированное положение договора относительно того, что в случае образования задолженности по оплате услуг связи оператор вправе привлекать к взысканию задолженности третьих лиц, и передача персональных данных таким третьим лицам не будет являться нарушением договора и законодательства.

До этого сложилась целая практика (правда с участием банков), в соответствии с которой суды отказывали банкам в обжаловании предписаний Роспотребнадзора об исключении положений о передаче информации о должниках соответствующим агентствам, специализирующимся на взыскании долгов, без согласия субъектов персональных данных. При этом суды ссылались еще на старую редакцию Закона [2]. ВАС РФ встал на сторону банков и признал такую уступку требований законной, однако в обоснование своей позиции ВАС РФ не ссылался на законодательство о персональных данных [3]. Таким образом, вышеуказанное решение Арбитражного суда Пермского края, пожалуй, одно из первых в рассматриваемом контексте вынесено в пользу операторов персональных данных и при этом основано на законодательстве о персональных данных.

Пока рано делать выводы на основе одного этого решения, которое, к тому же, еще может быть оспорено. Ясно одно – бизнесу дан позитивный сигнал, что новая редакция Закона, действительно, может защитить интересы бизнеса.

В виду рассматриваемого решения можно было бы порекомендовать компаниям, которые планируют передавать персональные данные должников «коллекторам», более подробно прописывать соответствующие положения договоров (описывать цели передачи данных, объем передаваемых данных и т. д.) и соотносить их (положения) с формулировками Закона. В этом случае риски оспаривания таких положений будут снижаться.

[1] Само по себе примечательно, что фактически Роспотребнадзор наряду с Роскомнадзором выступает органом, осуществляющим надзор за соблюдением законодательства о персональных данных.

[2] См., например, Постановление 14 Арбитражного апелляционного суда от 10 августа 2011 года по делу № А13-2205/2011.

[3] См. п. 16 Информационного письма Президиума ВАС РФ от 13.09.2011 № 146 «Обзор судебной практики по некоторым вопросам, связанным с применением к банкам административной ответственности за нарушение законодательства о защите прав потребителей при заключении кредитных договоров».

Персональные данные: что грозит за нарушение закона

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Какие данные являются персональными

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным. Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См. Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.
Ссылка на основную публикацию