Частые ошибки с персональными данными: обзор свежей судебной практики

Адвокат Антонов А.П.

Административные наказания за нарушения в области персональных данных стали суровее. Неверная обработка может причинять гражданам Моральный вред, ущемлять права потребителей. Чтобы не повторять чужих ошибок, рассмотрим, какие примеры встречались в практике в последнее время.

Согласие на обработку персональных данных

Полис страхования предусматривал, что страхователь согласен на обработку персональных данных, в том числе на их передачу в сторонние организации. Однако последние перечислены не были.

Потребителю фактически не дали выбора: соглашаться с таким условием или нет. Оно было уже включено в текст и не охватывалось волей и интересом гражданина.
Суды отметили: это ущемляет права потребителя.

АС Поволжского округа согласился. Страховую оштрафовали на 10 тыс. руб.

Другой пример встретился в практике АС Северо-Западного округа. При заключении кредитного договора согласие на обработку персональных данных предполагало, что их можно передавать третьим лицам для взыскания просроченной задолженности. Наименования и адреса этих лиц не указали. Суды признали согласие ненадлежащим.

Данные третьих лиц

Общество давало гражданам займы. Заемщик среди прочего указывал в анкете данные своего руководителя и номер его телефона. Кроме того, заемщик разрешал взаимодействовать с третьими лицами при взыскании задолженности, перечислял их Ф.И.О.

и номера.
Он выражал согласие на обработку персональных данных третьих лиц, но не они сами. Эти лица не были участниками договора займа, общество не имело оснований обрабатывать информацию о них.
Штраф составил 30 тыс. руб.

, 7-й КСОЮ поддержал подход.

Напомним, сейчас обработка персональных данных без законных оснований может обернуться более высоким штрафом. Для юрлиц он составляет от 60 тыс. до 100 тыс. руб.

Обработка биометрических данных

Школа использовала систему распознавания лиц при пропуске на территорию. Она получила требование прекратить обработку биометрических персональных данных учащихся, уничтожить данные.
Невыполнение требования повлекло штраф — 25 тыс. руб.

Судьи с наказанием согласились.
7-й КСОЮ направил дело на новое рассмотрение, так как ранее не учли важный аргумент: школа получила согласие всех родителей на обработку биометрических персональных данных их несовершеннолетних детей.

Подход может быть полезен всем компаниям, которые используют биометрические данные при организации пропускного режима. Необходимо получать согласие субъекта персональных данных в письменной форме.

Распространение информации о должниках

Товарищество собственников недвижимости разместило на сайте и на стенде сведения о должнике, в том числе его Ф.И.О. и данные об объекте недвижимости.
Гражданин обратился в суд, потребовал взыскать среди прочего 500 тыс. руб. компенсации морального вреда.

Первая инстанция отказала, так как не доказано, что задолженность отсутствует, сведения носят порочащий характер. Апелляция поддержала выводы.
Кассация рассудила иначе. Тот факт, что сведения об объектах и правообладателях недвижимости может получить любое лицо, не означает, что ответчик мог распространять данные истца.

Кроме того, первая инстанция неверно распределила бремя доказывания. Дело направили на новое рассмотрение в апелляцию.

Иногда в списке должников указывают только адрес и размер долга. Суды отмечают: это не персональные данные, их нельзя связать с конкретной личностью. Размещение таких сведений законно, что подтверждает практика 1-го и 3-го КСОЮ.

Размещение судебных актов

Если хотите поделиться на своем сайте какими-либо актами судов (например, результатами выигранного спора), не стоит забывать о персональных данных.
Разберем примеры из практики 2-го КСОЮ.
Юрфирма хотела продемонстрировать результаты своей работы и разместила на сайте решение районного суда и апелляционное определение в полном объеме.

Документы содержали персональные данные гражданина, но его не предупредили о размещении и не спросили согласия. Данные не обезличили и не уничтожили.
В результате пришлось возмещать гражданину моральный вред и Судебные расходы. Кассация поддержала подход.
В другом примере решения судов разместили на сайте и на информационных стендах в жилом доме. Удалить данные отказались.

Первая инстанция признала действия незаконными и решила взыскать моральный вред.

Апелляция не согласилась, сослалась в том числе на гласность и открытость судебного разбирательства. Однако кассация отменила определение. При новом рассмотрении в силе оставили решение первой инстанции.

С уважением, адвокат Анатолий Антонов, управляющий партнер адвокатского бюро «Антонов и партнеры.

Остались вопросы к адвокату?

Задайте их прямо сейчас здесь, или позвоните нам по телефонам в Москве +7 (499) 288-34-32 или в Самаре +7 (846) 212-99-71  (круглосуточно), или приходите к нам в офис на консультацию (по предварительной записи)!

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

• Юлия Беляева
• Консультант Центра информационной безопасности компании «Инфосистемы Джет»
• специально для ГАРАНТ.РУ

Разобраться в нюансах обработки персональных данных бывает не просто даже опытным специалистам. Это связано с тем, что положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) содержат общие формулировки, которые могут трактоваться по-разному. Позиции Роскомнадзора и суда по одному и тому же вопросу могут различаться, более того, встречаются судебные дела с противоположными решениями. При построении процессов обработки персональных данных руководители компаний часто не понимают, на что им ориентироваться, чтобы не допустить нарушений Закона № 152-ФЗ.

При этом вопрос защиты персональных данных год от года становится более острым. За последние два года в КоАП РФ внесены поправки об увеличении штрафов за невыполнение требований Закона № 152-ФЗ. Кроме того, сейчас готовится проект закона об увеличении штрафов за утечку персональных данных. Ежегодно Роскомнадздор фиксирует более 50 тыс.

жалоб физических лиц и выписывает организациям административные штрафы, общая сумма которых превышает 1 млн руб.

Возможные последствия для компаний не ограничиваются одними штрафами: регулятор может заблокировать сайт организации, что является неотъемлемой частью бизнеса для тех, кто предоставляет онлайн-сервисы или развивает продажи в интернете.

В данной колонке я рассмотрю три важных вопроса, которые мне регулярно задают предприниматели, сравнив положения Закона № 152-ФЗ и позицию Роскомнадзора. А также поделюсь личным опытом участия в проверках службы.

1. Фотография в СКУД – биометрические персональные данные?

Использование фотографий в системах контроля управления доступом (СКУД) – распространенная практика в компаниях. Поэтому многих волнует вопрос: относится ли фотография в СКУД к биометрическим персональным данным? Ведь в этом случае организация должна будет получить согласие субъекта персональных данных в письменной форме, указанной в ст. 9 Закона № 152-ФЗ.

Что говорит законодательство?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Так, в ст.

11 Закона № 152-ФЗ говорится, что под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, которые используются оператором для установления личности субъекта данных.

1. Что говорит Роскомнадзор?
2. На сайте службы опубликованы разъяснения1 о том, что фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными.
3. На дне открытых дверей в январе текущего года представители регулятора пояснили, при каких условиях фотография относится к биометрическим персональным данным. Так, если она:

• сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к изображению (освещение, положение головы, расположение камеры, разрешение изображения и т.д.);
• отнесена к биометрическим персональным данным нормативно-правовым актом (например, при обработке в Единой биометрической системе).

При данном пояснении регулятора можно сделать вывод, что обработка фотографии в системе СКУД к биометрическим персональным данным не относится. Кроме того, на последних проверках Роскомнадзора с нашим участием компании не получали замечаний о том, что фотография в СКУД относится к биометрическим персональным данным. Однако нам встречались и примеры с противоположным решением регулятора.

Что говорит судебная практика?

Владелец фитнес-клуба в Казани пытался оспорить в суде постановление Роскомнадзора и штраф в размере 10 тыс. руб. (решение Cоветского районного суда города Казани от 26 сентября 2019 г. по делу № 12-1526/2019).

В спортивном клубе использовали систему СКУД для идентификации посетителей по фотографии при проходе через турникет без их письменного согласия.

Суд сослался на разъяснения службы о том, что фотография, используемая для идентификации личности, является биометрическими персональными данными, и оставил жалобу без удовлетворения.

Выводы

• ФОРМА
• Согласие субъекта на обработку персональных данных
• Другие формы

Роскомнадзор не опровергает разъяснения на сайте, но на публичных мероприятиях его представители приводят критерии, по которым фотография в СКУД не относится к биометрическим персональным данным. Аналогичный подход все чаще встречается и в результате проверок регулятора. При этом, как видно из приведенного выше судебного решения, совсем недавно суд придерживался другой позиции, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня есть риски получения предписаний и штрафов в случае отсутствия согласия в письменной форме на обработку биометрических персональных данных при использовании фотографии в СКУД. Поэтому рекомендуется получать согласие субъекта персональных данных. Согласие должно быть оформлено в соответствии с требованиями ст. 9 Закона № 152-ФЗ. Еще один вариант минимизировать риск — указать во внутренних нормативных документах (например, в регламенте о пропускном и внутриобъектовом режимах), что фотографии в СКУД обрабатываются не с целью идентификации личности, а для организации пропускного режима. Однако при таком способе есть риски получить предписание в случае проверки Роскомнадзора.

1. Относится ли номер телефона к персональным данным?

1. Компании часто спрашивают, считаются ли номера телефонов без привязки к ФИО и другой информации пользователя персональными данными, и нужно ли в этом случае получать согласие владельца номера на обработку персональных данных.
2. Что говорит законодательство?

Напомним, согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

На дне открытых дверей представители службы также объяснили, что к персональным данным относится информация, которая характеризует человека. Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является.

По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

Что говорит судебная практика?

Житель города Белгорода обратился в суд (решение Октябрьского районного суда г. Белгорода от 12 сентября 2019 г. по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник».

Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца.

Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019).

Гражданину поступали звонки от коллекторской компании без его согласия. При этом других данных, кроме номера телефона, у взыскателей о человеке не было.

Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением Закона № 152-ФЗ.

Выводы

Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных.

Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных.

Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

1. Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

• Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или Договор сам по себе является правовым основанием для обработки.
• Что говорит законодательство?
• В ст. 6 Закона № 152-ФЗ говорится, что обработка персональных данных допускается:

• для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект будет являться выгодоприобретателем или поручителем.

1. Что говорит Роскомнадзор?
2. На официальном сайте Роскомнадзора2 размещена информация о том, что согласие не требуется, если обработка персональных данных необходима для исполнения договора.
3. По моему опыту участия в проверках регулятора отсутствие согласия может быть нарушением в следующих случаях:

• персональные данные избыточны по отношению к цели обработки или обрабатываются с целью, которая не указана в договоре. В качестве примера можно привести обработку копий паспортов, не требующихся для исполнения договора, или рассылку рекламных SMS-сообщений клиентам;
• не указан перечень организаций, в которые передаются персональные данные;
• требуется согласие на обработку персональных данных в письменной форме (для специальных категорий данных, биометрических данных, трансграничной передачи персональных данных и т.п.).

Что говорит судебная практика?

Рассмотрим два примера с противоположными решениями суда.

В пятом арбитражном апелляционном суде Владивостока рассматривался случай обработки персональных данных собственников помещения ресурсоснабжающей организацией.

Судебная коллегия определила, что при наличии договора согласие субъекта на обработку данных не требуется, поскольку она необходима для исполнения договора (постановление Пятого арбитражного апелляционного суда от 3 апреля 2019 г. № 05АП-367/19 по делу № А51-19080/2018).

В другом деле апелляционный суд Воронежа установил, что подписание договора не может считаться согласием собственника помещения многоквартирного дома на обработку персональных данных (постановление Девятнадцатого арбитражного апелляционного суда от 27 декабря 2018 г. № 19АП-8727/18). Согласие должно быть выражено с соблюдением требований ст. 9 Закона № 152-ФЗ с обязательным указанием сроков обработки персональных данных.

Выводы

В судебной практике есть пример, где наличие договора не является согласием. Роскомнадзор тоже не требует согласия, если персональные данные обрабатываются с целью исполнения договора, но проверяет выполнение условий, приведенных выше.

***

Тема обработки персональных данных всегда вызывает много вопросов из-за неоднозначности формулировок Закона № 152-ФЗ, и у каждого специалиста по персональным данным своя интерпретация правильного выполнения требований. Встречаются ситуации, когда в судебном порядке оспариваются постановления службы.

Более того, по одному вопросу можно найти противоположные решения суда. Подход Роскомнадзора меняется со временем, появляются новые разъяснения на сайте службы и открытых мероприятиях, а также решения судебных дел.

Я рекомендую при построении процессов обработки персональных данных оценивать совокупность факторов и выбирать решение, которое минимизирует риски получения предписаний и штрафов, на периодической основе проверять процессы обработки персональных данных на соответствие новым подходам Роскомнадзора.

Кроме того, стоит обратить внимание на разработку организационно-распорядительных документов, которые должны соответствовать выбранной позиции по спорным вопросам, а также отражать актуальные изменения процессов обработки персональных данных в компании.  

_____________________________

1 С разъяснениями можно ознакомиться на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/.

2 С информацией можно ознакомиться на официальном сайте: rkn.gov.ru/treatments/p459/p468/.

Персональные данные: топ сложных вопросов для работодателей

В этой статье обсудим типичные ошибки работодателей в области персональных данных и вопрос согласий, в котором важно разбираться всем.

Откуда взять топ ошибок?

Откуда мы можем взять информацию о типовых ошибках работодателей в сфере персональных данных?

Во-первых, из практики проверок Роскомнадзора, во-вторых, из судебной практики. По поводу практики — здесь два варианта:

• неформальный (опыт коллег, знакомых, экспертов, участвовавших в проверках);
• второй — формальный (из официальных отчетов госорганов, опубликованных на их сайтах или иных ресурсах).

Ну а судебную практику нужно просто искать в правовых базах (по ключевым словам, по готовым подборкам и т.д.).

Да, кстати, такая методика сбора информации о типовых ошибках подойдет для любого направления работы отдела кадров.

Что актуального?

Итак. мы смотрим на сайте Роскомнадзора и видим, что там опубликован Отчет о выполнении в 2020 году плана.

Это отчет о деятельности Роскомнадзора вообще (у него много направлений работы).

Ранее еще был отчет деятельности уполномоченного органа по защите прав субъектов персональных данных за 2019 год (на мой взгляд, толковый отчет).

Но в этих отчетах, на мой взгляд, типовые нарушения описаны как-то нечетко.

В частности, указаны нарушения при направлении уведомления об обработке (неверные данные, несвоевременность корректировок), обработка в непредусмотренных случаях (но это не наша тема).

А вот там, где могут быть как раз нарушения работодателей, указано все общего характера: непринятие мер, необходимых для соблюдения законодательства.

Но ЗАТО отчеты интересны в плане статистики проверок.

Далее обратимся к судебной практике. Из самых интересных мы собрали 50 дел с 2017 года (опубликованы в правовых системах). Вот основные нарушения (выбирали именно по работникам):

• нарушены сроки удаления персональных данных с сайта (Определение Первого кассационного суда общей юрисдикции от 24.08.2021 по делу N 88-21272/2021);
• не получено согласие на передачу данных третьим лицам, в частности, страховой компании (Определение Второго кассационного суда общей юрисдикции от 28.09.2021 по делу N 88-22322/2021);
• незаконно взыскан с работника штраф госоргана, наложенного на работодателя, за нарушение работы с персональными данными (Определение Четвертого кассационного суда общей юрисдикции от 22.10.2020 по делу N 88-16568/2020);
• работники не ознакомлены с ЛНА о персональных данных (Постановление Мирового судьи судебного участка № 1 Игринского района Удмуртской Республики от 05.11.2019 по делу № 5-766/2019);
• видеонаблюдение без согласия (Решение Верховного суда Республики Дагестан от 24.05.2018 N 21-607/2018);
• не разработаны ЛНА о персональных данных, образцы согласий не соответствуют закону (Постановление Арбитражного суда Московского округа от 15.01.2018 N Ф05-18981/2017 по делу N А40-81171/17-149-793);
• отсутствие согласия при передаче функций на аутсорсинг (Постановление Мирового судьи судебного участка № 6 Октябрьского судебного района города Архангельска от 19.01.2018 по делу № 5-28/2018);
• не уведомлен госорган об обработке персональных данных (Постановление Мирового судьи судебного участка № 57 Ленинского судебного района г. Кирова от 11.01.2018 по делу 5-21/2018).

В общем, вот вам топ дел, которые точно надо изучить, чтобы не повторять подобных ошибок.

А еще

На мой взгляд, самый главный вопрос по теме персональных данных — это согласия. В каких случаях нужны, у кого берём, что в них писать…

Почему это важно? А потому, что это проверит Роскомнадзор, и штраф за обработку персональных данных без согласия — до 150 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

Давайте разбираться, какие нужны согласия.

1. Согласие на обработку персональных данных.

По общему правилу, персональные данные обрабатываются с согласия, но если только для исполнения договора, то можно и без согласия (ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

Если только для оформления на работу, для исполнения трудового договора, то опять же, получается, можно и без согласия.

Почему тогда берём при приёме на работу это согласие? Потому что во многих случаях обрабатываем дополнительные данные: e-mail, номер телефона, данные о родственниках и т.д. Ну и на всякий случай, чтобы споров было меньше.

2. Согласие на передачу персональных данных.

По общему правилу, передавать данные государственным органам в предусмотренных законом случаях можно и без согласия (см. п. 4 Разъяснений Роскомнадзора).

Получается, иным организациям, кроме госорганов, данные передаем только с согласия — контрагентам, страховым компаниям, обучающим организациям, аутсорсинговым компаниям и т.д.

3. Согласие на распространение.

Это новое согласие, изменения внесены Федеральным законом от 30.12.2020 № 519-ФЗ, Приказом Роскомнадзора от 24.02.2021 N 18.

Если компания размещает данные работников на своих сайтах, порталах, соцсетях, то требуется оформить такое согласие (отдельно от других согласий).

4. Согласие на обработку биометрических данных (фото, видео, в том числе, видеонаблюдение, иные данные, связанные с телом человека).

Эти данные всегда обрабатываются с согласия (ст. 11 Закона о персональных данных). Есть мнение, что надо оформлять это согласие отдельно, но не вижу в судебной практике, чтобы штрафовали, если нет отдельного документа. Полагаю, мы можем включить этот пункт в обычное согласие на обработку.

Но, если обрабатывать эти данные потребовалось позже приёма, то придется оформить отдельное согласие

5. Согласие на обработку данных кандидата.

Конечно, если кандидат принёс резюме с собой, вы его просто посмотрели и вернули ему, то согласия не требуется. Также не требуется согласие, если вы получили резюме с работного сайта, из агентства. Но если вы получили резюме с вашего сайта, по эл.почте, лично и собираетесь включить его в базы данных, то нужно согласие (Разъяснения Роскомнадзора)

6. Согласие на получение персональных данных.

По общему правилу, персональные данные получают от самого гражданина, а получение данных от третьих лиц возможно только с его согласия (ст. 86 ТК РФ).

Обычно мы хотим получить информацию от предыдущих работодателей или подтвердить подлинность диплома. — то есть, получить персональные данные на кандидата от других лиц. Соответственно, можно включить этот пункт в согласие кандидата.

7. Согласие на трансграничную передачу.

Передача персональных данных работников за границу осуществляется только с их согласия (ст. 12 Закона о персональных данных).

Но это согласие актуально только для организаций с иностранным участием.

Вот, на мой взгляд, краткий обзор согласий по персональным данным.

Гость, внимание! Закрываем набор на курс по всем ФСБУ В связи с окончанием сроков сдачи годового отчета набираем последнюю группу на комплексный курс повышения квалификации по всем новым ФСБУ: «Аренда», «Запасы», «ОС», «Капвложения» и «Документооборот».

На курсе узнаете, как новые стандарты влияют на налоги, научитесь избегать ошибок, поймете, что придется изменить в учете и как его настроить по-новому.

Занятия с 1 по 30 апреля. Места в группе пока есть.

ТОП-5 ошибок в сфере работы с персональными данными

Одна из самых опасных тем для работодателей сегодня – ​персональные данные. Опасной ее делают сразу несколько факторов: это последние изменения в законодательстве, возможный штраф до 6 млн рублей, возобновление проверок Роскомнадзора.

А еще – риски жалоб от сотрудников и даже кандидатов. Выделим 5 самых распространенных ошибок работодателей в вопросах защиты персональных данных. И расскажем, что делать, чтобы их избежать.

Это как раз те случаи, когда можно учиться на чужих ошибках.

1. Устаревшие понятия

Однако лучше использовать определение, которое дает ныне действующий п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»2. Согласно ему персональные данные – ​это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто в локальных актах работодателя встречаются и другие, уже устаревшие определения и термины, поэтому стоит регулярно организовывать ревизию ЛНА работодателя, чтобы их выявить и скорректировать тексты.

2. Нет указания, что базы данных расположены на территории России

Компании, особенно международные, зачастую не проверяют и не фиксируют, где именно находятся базы данных, в которых хранится и обрабатывается персональная информация. Кроме того, это не всегда указано и во внутренних документах компании.

Согласно же ч. 5 ст. 18 Закона о персданных, работодатель при сборе персональных данных граждан РФ обязан обеспечить их запись, систематизацию, накопление, хранение и пр., используя только базы данных на территории нашей страны.

Кстати, если базы не расположены в России, то за это нарушение штрафы, установленные ч. 8 и 9 ст. 13.11 КоАП РФ, просто космические. Так, невыполнение указанной обязанности влечет наложение штрафа:

• на граждан в размере от 13 000 до 50 000 рублей;
• должностных лиц – ​от 100 000 до 200 000 рублей;
• юридических лиц и индивидуальных предпринимателей – ​от 1 000 000 до 6 000 000 рублей.

Повторное нарушение опасно еще большими суммами:

• для граждан штраф может составить от 50 000 до 100 000 рублей;
• должностных лиц – ​от 500 000 до 800 000 рублей;
• юридических лиц и индивидуальных предпринимателей – ​от 6 000 000 до 18 000 000 рублей.

3. Не прописан актуальный порядок распространения персданных

Если раньше обработка данных допускалась без согласия кандидата или работника, потому что он сделал их общедоступными (например, на сайте поиска работы или в соцсети), то теперь персональные данные прямо должны быть разрешены для распространения самим гражданином.

Здесь тоже не лишним будет напомнить про ответственность за нарушения в области персональных данных по ч. 2 и 2.1 ст. 13.11 КоАП РФ, которая ужесточилась с 27.03.2021. За обработку персданных без согласия в письменной форме штраф составит:

• для граждан – ​от 6000 до 10 000 рублей;
• должностных лиц и индивидуальных предпринимателей – ​от 20 000 до 40 000 рублей;
• юридических лиц – ​от 30 000 до 150 000 рублей.

За повторное нарушение штраф возрастет:

• для граждан – ​от 10 000 до 20 000 рублей;
• должностных лиц – ​от 40 000 до 100 000 рублей;
• индивидуальных предпринимателей – ​от 100 000 до 300 000 рублей;
• юридических лиц – ​от 300 000 до 500 000 рублей.

Не забудьте прописать это уточнение во внутренних документах и, самое главное, получить от работников необходимые согласия.

4. Не оформлено обязательство о неразглашении

5. Не включена норма о применении взысканий за нарушение правил защиты персданных

Эта ошибка тесно связана с предыдущей. Принимая все риски исключительно на себя, работодатели зачастую не прописывают в ЛНА ответственность своих сотрудников, в частности в Положении о персональных данных.

В то же время, если сотрудник по своей вине не выполняет возложенные на него обязанности, к нему могут применять дисциплинарные взыскания. И работника, ответственного за обработку и защиту данных, стоит об этом письменно предупредить, что называется, на берегу.

Чтобы он понимал, что работа с персональными данными возлагает на него дополнительные обязанности и влечет сербезную ответственность в случае их невыполнения (ненадлежащего выполнения).

Судебная практика по защите персональных данных

Различные нарушения закона о персональных данных, выписанные предписания Роскомнадзора и Протоколы о привлечении к административной ответственности вынуждают юридических лиц прибегать к защите суда. Существующая судебная практика неоднородна, но достаточна интересна.

Уже можно говорить, что у судов сложилась единая позиция по поводу тех или иных нарушений закона о защите персональных данных.

Споры относятся к разным категориям, и многие из них основываются на неверном понимании гражданами, организациями и государственными органами закона о персональных данных.

Системные споры

Сама система защиты персональных данных уже стала предметом судебного оспаривания.

Наиболее интересные споры попадают на рассмотрение Конституционного и Верховного судов, менее системные, но значимые остаются на уровне окружных.

Знание практики применения закона судами поможет операторам и частным лицам избежать рисков нарушения закона и понять, что в определенных случаях заручиться судебной защитой будет невозможно.

Так, недавно в Конституционном суде РФ состоялось слушание по вопросам конституционности нормы закона, запрещающей операторам предоставлять обрабатываемые ими персональные данные третьим лицам.

Заявитель, обратившийся за информацией о своих коллегах и получивший отказ оператора предоставить персональные данные, обратился в Конституционный суд, сочтя, что такой отказ нарушает его право на защиту, а норма закона является неконституционной.

Суд (определение № 1158-О) отказал заявителю, подчеркнув, что право гражданина на защиту информации о своей частной жизни является безусловным.

Существенную часть споров о неправомерном распространении персональных данных составляют споры со средствами массовой информации, часто публикующими информацию о личной жизни граждан.

Верховный суд постановил, что Роскомнадзор вправе принять решение о закрытии СМИ, если оно регулярно распространяет информацию о личной жизни граждан и иным образом нарушает законодательство о персональных данных.

Так, одна из газет Краснодарского края несколько раз опубликовала не только имя и фамилию несовершеннолетней, но и номер школы, в которой она обучается.

После получения письменного предупреждения ведомства публикация персональных данных несовершеннолетних, нарушающая в том числе закон о СМИ, не прекратилась. Решением краевого суда деятельность газеты была прекращена, Верховный суд РФ в Определении № 18-АПГ 15-7 счел нарушение существенным, а это решение правомерным.

Помимо закрытия газеты, за нарушение закона о персональных данных может наступить гражданско-правовая ответственность в виде возмещения морального вреда.

Суд по Санкт-Петербургу и Ленинградской области счел нарушением законодательства публикации фотографии гражданина и сведений о нем без получения его согласия на распространение персональных данных.

Суд взыскал с газеты «Комсомольская правда» в пользу гражданина моральный ущерб за публикацию его персональных данных.

Предоставление персональных данных по запросу государственных органов также остается камнем преткновения. Закон прямо запрещает их распространение, и иногда операторы, во избежание рисков получения предписания от Роскомнадзора, отказывают в их передаче государственным органам, в том числе и ФАС РФ.

В одном из таких случаев ФАС запросила у оператора мобильной связи информацию о владельце телефонного номера, с которого поступали многочисленные рекламные сообщения. За отказ предоставить персональные данные организация была оштрафована.

Суд счел, что ФАС действовал в соответствии с законом, а оператор связи обязан был предоставить запрошенные персональные данные.

Такие споры редки, первое разбирательство состоялось в 2016 году, второе – в 2015-м. Чаще встречаются менее значимые, но имеющие практическое значение дела по вопросам неправомерного распространения персональных данных или иным способам их использования.

Важным системным вопросом для организаций и предприятий, принимающих сотрудников на работу и реализующих продукцию через интернет-магазины, стал вопрос о необходимости уведомлять Роскомнадзор о начале деятельности по обработке персональных данных в следующих трех случаях:

• компания обрабатывает персональные данные людей, ищущих работу, а именно: собирает резюме, анализирует их, вносит данные, полученные путем анализа резюме, в свои информационные базы;
• использует специальное программное обеспечение, при помощи которого обрабатывает персональные данные соискателей и работников;
• применяет аналогичные программы для обработки данных клиентов, полученных по телекоммуникационным каналам связи.

Четвертый арбитражный апелляционный суд во всех трех случаях счел, что уведомлять о начале деятельности по обработке персональных данных не надо.

Иные категории споров

Каждый гражданин в обычной жизни сталкивается с ситуацией, в которой он предоставляет свои персональные данные. Это создание личного кабинета в интернет-магазине, заполнение анкеты для получения дисконтной карты, оформление абонемента в бассейн.

Иногда при этом заполняется согласие на обработку персональных данных, иногда организации, оказывающие Услуги, забывают об этом требовании закона. Мало кто задумывается о том, насколько бережно хранятся, переданные оператору данные. Но одна ситуация постоянно вызывает споры и вопросы.

Является ли предоставлением персональных данных предъявление паспорта на кассе магазина и оформление заявления при возврате товара? Суд счел, что нарушением законодательства о персональных данных эта ситуация не является.

Ситуация возникла по заявлению гражданина в ФАС РФ, который счел, что внесение паспортных данных в заявление на возврат товара и в приходный ордер является обработкой персональных данных, осуществляемой не в соответствии с требованиями закона. Магазин был оштрафован. Суд не отнес эту ситуацию к неправомерной обработке персональных данных и отменил штраф.

Столь же интересной стала ситуация с фотографиями. Фото как объект, содержащий биометрические сведения, может быть отнесено к персональным данным. В одном из дел было установлено: чтобы использовать фотографию для оформления пропуска в бассейн, необходимо получить согласие гражданина на получение его персональных данных.

Если с 2013 года эта ситуация рассматривалась только как спорная позиция Роскомнадзора, и мало кто из организаций воспринимал это как рекомендацию к действию, то после решения суда, ее подтвердившего, в каждой из ситуаций использования фото для оформления пропуска или личного дела придется оформлять согласие на обработку персональных данных.

Достаточно часто при подписании согласия на обработку персональных данных граждане обращают внимание на то, что соглашаются на передачу своих сведений третьим лицам. Далеко не всегда эти третьи лица указываются подробно.

Роспотребнадзор очень часто поправлял банки, которые не конкретизировали такие перечни.

В последнее время четыре апелляционных суда поддержали позицию Роспотребнадзора, обратив внимание банков на то, что перечень лиц, которым передаются персональные данные, должен быть конкретным.

Но системные проблемы решаются не так часто, как возникают типовые проблемы у медицинских или образовательных учреждений, руководители которых при оказании своих профессиональных услуг не всегда оформляют у клиентов согласие на обработку персональных данных.

Так, в одной из клиник Самарской области при проведении медицинских осмотров персональные данные граждан вносились в амбулаторные карты, при этом согласие на такую обработку от них не получалось.

За это нарушение мировой суд привлек директора медицинской организации к ответственности по ст. 13.1 КоАП и оштрафовал на 500 рублей. Областной суд полностью согласился с мировым.

Таким образом, теперь медицинская организация при оказании любого вида медицинской помощи, при которой получаются для внесения в амбулаторные карты или в отчетность персональные данные пациентов, обязана оформлять согласие.

Если рассматривать практику применения этой нормы по всей стране, можно увидеть, что случаи привлечения к ответственности пока являются единичными и нарушители отделываются минимальными штрафами.

Истцы и ответчики

Вне зависимости от того, как формируется практика, необходимо проанализировать типичных истцов и ответчиков по спорам этих категорий. Существует две категории истцов:

• граждане, считающие свои права на охрану персональных данных и на их получение ущемленными и направляющие иски к организациям;
• государственные органы, отстаивающие свое право на привлечение операторов персональных данных к ответственности.

Юридические лица – операторы персональных данных – обычно выступают в роли ответчиков. Только в спорах о том, в каком случае не нужно производить уведомление Роскомнадзора, они становятся истцами и с успехом выигрывают споры.

Если юридическое лицо становится ответчиком по спорам, связанным с персональными данными, то чаще всего оно постоянно взаимодействует с неограниченным кругом физических лиц и не всегда точно соблюдает нормы законодательства о персональных данных, в ряде случаев неправомерно передавая их третьим лицам. Среди таких ответчиков:

• газеты и иные СМИ;
• магазины;
• банки;
• мобильные операторы.

Зачастую аналогичная ситуация становится предметом судебного разбирательства в случае, если на нее обратило внимание частное лицо, и не попадает в поле зрения суда и Роскомнадзора в десятках других случаев, когда требуется согласие на обработку персональных данных. Интересом частного лица часто становится возмещение морального вреда в материальной форме, для него не имеет значения, нормы какого законодательства, о правах потребителя или о защите персональных данных, были нарушены.

Анализируя судебную практику, можно увидеть, что очень часто суды поправляют государственные органы, неверно интерпретирующие свои права. Но столь же часто они встают на защиту интересов граждан и охрану тайны их личной жизни, запрещая неправомерное распространение персональных данных.