Банковское обозрение

Сфера финансовых интересов

  • Персональные данные: инструкция по применению, судебная практика
18.10.2017 Аналитика
Персональные данные: инструкция по применению, судебная практика

Как вести себя оператору персональных данных и не получать штрафы



Каждый год Роскомнадзор публикует свою статистику по жалобам о неправомерном использовании персональных данных граждан. Уже не первый год банки являются лидерами данного рейтинга. В начале этого года Роскомнадзор сообщил, что на долю банков приходится 14,2 тыс. жалоб граждан и значительно меньше жалоб на других операторов персональных данных. Видимо, для банков еще долго тема использования персональных данных будет актуальна. В данной статье рассмотрены изменения в законодательстве, связанном с персональными данными, а также даны инструкции оператору по правильному поведению, которые позволят не получить штрафы

В феврале 2017 года были приняты поправки в ст. 13.11 КоАП РФ, а именно:

- изменился максимально возможный размер штрафа с 10 тыс. рублей до 75 тыс. рублей. Следует обратить внимание на то, что размер штрафа указан за одно нарушение, если при проверке Роскомнадзор найдет несколько нарушений, то юридическое лицо будет оштрафовано за каждое в отдельности;

- изменилась сама процедура привлечения к административному наказанию, теперь Ромкомнадзору не нужно обращаться в Прокуратуру, функция привлечения к наказанию передана ему.

Чтобы не получать ненужные штрафы, нужно правильно организовать в компании обработку персональных данных.

Не стоит забывать, что в случае судебного спора с организации могут быть взысканы судебные расходы и денежные средства за причиненный моральный вред.

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Выполняем обязанности оператора

Обязанности оператора можно разделить на два вида: • выполняемые при любом положении; • выполняемые при определенных обстоятельствах (либо имеются исключения).


Выполняемые при любом положении

Выполняемые при определенных обстоятельствах

1. Соблюдение принципов обработки персональных данных (ст. 5 Закона о персональных данных)

1. Уведомляем уполномоченный орган о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных), но есть исключения, которые перечислены в ч. 2 указанной статьи: обрабатываемые в соответствии с трудовым законодательством; полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не будут распространяться и будут использованы только в рамках заключенного договора; относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением, не распространяемые без согласия субъекта персональных данных; сделанные субъектом персональных данных общедоступными; включающие в себя только фамилии, имена и отчества субъектов персональных данных и др.

2. Обработка данных, только в случаях, прямо предусмотренных Законом

2. Предоставление доступа владельцу к его персональным данным (ст. 14 Закона о персональных данных)

3. Защита полученных персональных данных

3. По требованию владельца произвести следующие действия с персональными данными:

  • уточнить;
  • уничтожить;
  • блокировать

4. Обработка персональных данных на российских серверах

4. Оператор персональных данных обязан уведомить / получить согласие владельцев биометрических персональных данных о том, что он производит фото- или видеосъемку.
Из разъяснений Роскомнадзора становится понятным, что достаточно повесить предупреждающие таблички

5. Должно быть назначено ответственное лицо

 

6. Публикуем политику в отношении персональных данных

 

Получаем согласие на обработку персональных данных

Согласно положениям Закона о персональных данных, оператор обязан получить согласие от их владельца.

Я бы разделила субъектов персональных данных на две группы: сотрудники и все остальные.

Согласие может быть получено в виде отдельного документа либо в электронном виде, если действия происходят на сайте.

Так, Ростовским областным судом было рассмотрено дело по иску о предоставлении информации и взыскании морального вреда. Обстоятельства дела: истец получил кредитную карту в банке, далее банк сделал переуступку прав требования, новый банк направил истцу уведомление о необходимости явиться в офис банка для подписания документов, Истца смутило, что банк от него не получил согласия на обработку персональных данных, в связи с чем истец направил в банк заявление о предоставлении ему информации, связанной с его персональными данными. Банк от удовлетворения требований истца уберегло грамотно составленное согласие на обработку персональных данных, в котором было указано, что одной из целей обработки является сбор задолженности в случае передачи банком третьим лицам функций и (или) полномочий по обслуживанию кредита и сбору задолженности на основании заключаемых банком договоров с данными лицами.

Работодатель не всегда обязан получать согласие своих работников на обработку персональных данных, а только в том случае, если он планирует:

• обрабатывать биометрические персональные данные;

• использовать полиграф;

• передать данные третьим лицам;

• запросить данные у третьих лиц;

• поручить обработку персональных данных аутсорсеру;

• передать данные в банк, чтобы оформить зарплатную карту;

• передать данные за границу;

• обрабатывать специальные категории персональных данных.

Обезличиваем персональные данные

Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

В случаях когда оператор достигает цели обработки или им потерян интерес к целям, Закон предоставляет оператору право выбора: обезличить или уничтожить персональные данные.

Чтобы обезличить персональные данные оператор выбирает один из методов, указанных в Приказе Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»:

• метод введения идентификаторов — замена части сведений (значений персональных данных) идентификаторами с созданием таблицы;

• метод изменения состава или семантики;

• метод декомпозиции;

• метод перемешивания.

Обратите внимание, что данные методы установлены для государственных органов, для коммерческой организации они необязательны и в компании могут применяться другие.

Конечно, каждому оператору проще было бы просто уничтожать ненужные данные, но есть случаи, когда это невозможно, работодателям нельзя уничтожать большую часть кадровой документации, так как для нее установлен срок хранения.

Другие же операторы обезличивают персональные данные, когда в этом есть необходимость, например медицинской организации для статистики.

Уничтожаем персональные данные

 

Самый простой способ избавиться от ненужных персональных данных — уничтожить их.

Согласно п. 8 ст. 3 Закона о персональных данных, уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Законом установлены случаи, когда оператор обязан уничтожить персональные данные:

1. Владелец персональных данных требует уничтожить их (ч. 3 ст. 20 Закона о персональных данных). Срок уничтожения — семь рабочих дней с момента поступления требования.

Так, Нижегородским областным судом было рассмотрено дело о неправомерном использовании персональных данных по иску об уничтожении персональных данных и взысканию морального вреда. Обстоятельства дела таковы: между ответчиком и третьим лицом было заключено соглашение о предоставлении овердрафта, впоследствии у третьего лица по данному соглашению образовалась просроченная задолженность. Истец, являющийся адвокатом, в рамках оказания юридических услуг обратился со своего телефонного номера к ответчику для получения информации по задолженности, но в последующем на телефонный номер истца стали неоднократно поступать звонки по вопросу погашения задолженности. Суд удовлетворил требования ответчика в полном объеме, обязал банк уничтожить персональные данные в течение 10 дней с момента вступления решения в силу (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016).

Еще одно дело было рассмотрено Новосибирским областным судом по иску о признании кредитного договора незаключенным, уничтожении персональных данных, взыскании морального вреда и судебных расходов. Обстоятельства дела: истец пришла в магазин бытовой техники, где намеревалась купить товар в кредит, обратилась к кредитному менеджеру, предоставила все необходимые документы, менеджер внес в базу данные истца. Истец, не дождавшись ответа из банка, отказалась от заключения договора, но с того времени ей постоянно поступают звонки из банка с требованием погасить задолженность по кредиту. Суд удовлетворил требования истца, установив, что у банка не было законных оснований на обработку персональных данных истца (Апелляционное определение Новосибирского областного суда от 18.07.2017 по делу № 33-6839/2017).

2. Оператор самостоятельно обнаружил, что неправомерно обрабатывает персональные данные (ч. 3 ст. 21 Закона о персональных данных). Срок уничтожения — 10 рабочих дней с момента выявления оператором такого нарушения;

3. Достигнуты цели обработки персональных данных (ч. 4 ст. 21 Закона о персональных данных). Срок уничтожения — 30 дней с момента достижения цели;

4. Владелец персональных данных отзывает согласие на обработку его персональных данных (ч. 5 ст. 21 Закона о персональных данных). Срок уничтожения — 30 дней с момента поступления отзыва, если для целей обработки данные больше не нужно сохранять.

Исключение: если достигнуты цели обработки или владелец персональных данных отзывает их, оператор имеет право не уничтожать данные, если иное предусмотрено в заключенном сторонами договоре/соглашении либо оператором осуществляется обработка персональных данных на законных основаниях без согласия субъекта персональных данных.

Чтобы уничтожить персональные данные, нужно создать комиссию по уничтожению персональных данных и утвердить акт об уничтожении персональных данных.

В заключение хотелось бы сказать, что принцип, который позволит сэкономить на штрафах и иных расходах, прописан в ст. 6 Закона о персональных данных, а именно: обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным Федеральным законом.