Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
- Что изменилось в обработке персональных данных с 1 марта
- Требования к обработке персональных данных
- За что и на какие суммы штрафуют в 2021 году
- Что делать владельцу сайта, чтобы избежать штрафов
- Конфиденциальность персональных данных: когда ее не нужно обеспечивать
- Когда не нужно получать согласие на обработку персональных данных
- Что такое портал персональных данных
- Как еще планируют ужесточить обработку персональных данных
Что изменилось в обработке персональных данных с 1 марта
Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:
- Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
- Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
- В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
- ФИО;
- контактные данные;
- перечень персональных данных, обработку которых нужно прекратить.
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года
Работник и работодатель
В компании принято относить личные сведения к категории конфиденциальной информации, когда существует специальный режим работы и план защиты всех имеющихся данных о сотрудниках. Нередко конфликты на данную спорную тему возникают на предприятиях, где разглашение и передача персональных данных работника третьим лицам возможна только на основании письменного согласия. Сотрудники, которые по долгу своей службы получили и владеют данными коллег на законном основании, обязаны использовать их только по целевому назначению и ни в коем случае не разглашать информацию. Исключения могут определяться только федеральными законами.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2021 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
- организующие и (или) осуществляющие обработку ПД;
- определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
- ФИО
- дата рождения
- адрес
- телефон
- электронный адрес
- фотография
- ссылка на персональный сайт
- ссылка на профиль в социальных сетях
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
Исключительные права
Возможностью получения персональных данных о работнике обладают некоторые организации, которым данные сведения необходимы для выполнения своих функций:
- Представители фондов пенсионного, а также социального страхования.
- Федеральная инспекция труда и органы государственного надзора и контроля за соблюдением выполнения законодательства о труде.
- Налоговая.
- Профсоюзы, исполнительная власть при расследовании несчастных случаев на производстве.
Резиденты данной категории должны соблюдать режим секретности, целевое использование всей собранной информации, нести ответственность за передачу персональных данных третьим лицам. А при личном желании их обнародования и распространения.
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2021 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
Основание | Размер штрафа |
Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД |
При повторном нарушении
|
Обработка ПД без письменного согласия субъекта |
При повторном нарушении
|
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД |
|
Непредоставление субъекту ПД информации по их обработке |
|
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) |
При повторном нарушении
|
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования |
|
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД |
|
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Как злоумышленники крадут данные
Эксфильтрация, или кража, данных (exfiltration) — это несанкционированное копирование, передача или получение данных с компьютера или сервера жертвы. Эксфильтрация может осуществляться через интернет или по локальной сети. Как правило, при передаче данных атакующие сжимают и шифруют их, чтобы избежать обнаружения. Для эксфильтрации данных из целевой системы злоумышленники могут использовать командные серверы (часто обозначаемые как C&C или С2) и другие каналы передачи.
Матрица MITRE ATT&CK выделяет девять техник, которые злоумышленники используют для кражи данных:
- Автоматизированная эксфильтрация
- Сжатие данных
- Шифрование данных
- Ограничение размера передаваемых данных
- Эксфильтрация через альтернативный протокол
- Эксфильтрация через командный сервер
- Эксфильтрация через альтернативный канал связи
- Физическая эксфильтрация
- Передача по расписанию
Автоматизированная эксфильтрация (Automated exfiltration)
Конфиденциальная информация, полученная на этапе сбора данных, передается злоумышленникам с использованием специально созданных автоматизированных сценариев (скриптов). Для передачи информации за пределы сети могут также применяться дополнительные техники, например эксфильтрация через командный сервер или эксфильтрация через альтернативный протокол.
Защита
Защититься от подобных атак сложно, поскольку в каждой системе они будут иметь свои индивидуальные черты, будут иметь векторы, основанные на конфигурации и окружении этой конкретной системы.
Обнаружение
Рекомендуется отслеживать нетипичные обращения к файлам и сетевую активность. Подозрительными следует считать неизвестные процессы или скрипты, выполняющие сканирование файловой системы, например путем обращения к каталогам более высокого уровня, и отправляющие данные по сети.
Сжатие данных (Data compressed)
Злоумышленники могут сжимать собранные данные перед их эксфильтрацией, чтобы минимизировать трафик, передаваемый по сети. Сжатие выполняется с помощью специально созданных или, наоборот, общедоступных утилит, поддерживающих такие форматы сжатия, как 7Z, RAR и ZIP.
Защита
Если злоумышленники отправляют данные по незашифрованным каналам, то можно использовать любую доступную систему предотвращения сетевых вторжений или утечки данных, способную блокировать отправку определенных типов файлов. Однако необходимо учитывать, что злоумышленники могут обойти подобную защиту с помощью шифрования или инкапсуляции (внедрения передаваемых данных в легитимный трафик).
Обнаружение
Программы для сжатия файлов и сами сжатые файлы можно обнаружить разными способами. К примеру, распространенные утилиты для сжатия (такие как 7-Zip или WinRAR), установленные в системе или загруженные злоумышленниками, можно обнаружить, отслеживая соответствующие процессы и известные аргументы, которые используются при запуске утилит из командной строки. Однако необходимо учитывать, что количество срабатываний на легитимное использование подобных утилит может значительно превысить количество обнаруженных вредоносных операций.
Шифрование данных (Data encrypted)
Злоумышленники могут шифровать данные перед их эксфильтрацией, чтобы обойти защиту на основе анализа содержимого файлов или сделать эксфильтрацию менее заметной на фоне других событий сети. Шифрование файлов, выполняемое независимо от шифрования, обеспечиваемого протоколом передачи данных (например, HTTPS), не позволит средствам защиты определить тип передаваемой информации. Использование популярных форматов архивации с поддержкой шифрования, таких как RAR и ZIP, позволит атакующим маскировать вывод данных под легитимную передачу сжатых файлов.
Для передачи информации за пределы сети могут применяться дополнительные техники, например эксфильтрация через командный сервер или эксфильтрация через альтернативный протокол.
Защита
Защититься от подобных атак сложно, поскольку в каждой системе они будут иметь свои индивидуальные черты, будут иметь векторы, основанные на конфигурации и окружении этой конкретной системы.
Обнаружение
Программы для шифрования и зашифрованные файлы можно обнаружить разными способами. К примеру, распространенные утилиты для шифрования, установленные в системе или загруженные злоумышленниками, можно обнаружить, отслеживая соответствующие процессы и известные аргументы, которые используются при запуске утилит из командной строки. Однако необходимо учитывать, что количество срабатываний на легитимное использование подобных утилит может значительно превысить количество обнаруженных вредоносных операций.
Процесс, загружающий Windows-библиотеку crypt32.dll, может использоваться для шифрования, расшифровки или проверки подписи файла, а также служить маркером подготовки данных к эксфильтрации.
Ограничение размера передаваемых данных (Data transfer size limits)
Злоумышленники могут проводить эксфильтрацию данных блоками фиксированного размера, а не целыми файлами, или задавать размер пакетов ниже определенного порога. Это помогает злоумышленникам обойти защитные механизмы, предупреждающие о превышении установленных объемов передачи данных.
Защита
Для защиты на уровне сети рекомендуется использовать системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам могут определить трафик, типичный для вредоносного ПО и командного сервера.
Обнаружение
Нужно анализировать сетевую активность на предмет необычных потоков данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Если процесс долго поддерживает соединение и непрерывно отправляет пакеты данных определенного размера или если он открывает соединения и отправляет пакеты данных фиксированного размера через одинаковые интервалы времени, то, возможно, выполняется передача собранной информации. Если процесс использует сеть, хотя обычно (или вовсе никогда) этого не делал, следует считать такое поведение подозрительными. Также рекомендуется анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта; например, передача Tor-трафика может осуществляться под видом видеозвонка Skype.
Эксфильтрация через альтернативный протокол (Exfiltration over alternative protocol)
Эксфильтрация выполняется с использованием протокола, отличного от протокола взаимодействия с командным сервером, например FTP, SMTP, HTTP/S или DNS. Данные в этом случае отправляются не командному серверу, а в другое выбранное злоумышленником место, например в облачное хранилище.
Защита
Фильтрация сетевого трафика: рекомендуется использовать для служб, таких как DNS, специальные и прокси-серверы; разрешите этим службам использовать только стандартные порты и протоколы.
Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам могут определить трафик, типичный для вредоносного ПО и командного сервера.
Сегментация сети: используйте рекомендации по безопасной настройке межсетевых экранов; ограничьте список используемых портов и типов данных для входящего и исходящего трафика.
Обнаружение
Рекомендуется использовать систему анализа трафика (например, PT Network Attack Discovery) для отслеживания нетипичных потоков данных в сети (к примеру, когда клиент отправляет значительно больше данных, чем получает от сервера). Если процесс использует сеть, но обычно (или вовсе никогда) этого не делал, следует считать такое поведение подозрительными. Также рекомендуется анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта, как в случае с передачей зашифрованных данных с использованием UDP и портов, открытых для Skype.
Эксфильтрация через командный сервер (Exfiltration over command and control channel)
Эксфильтрация осуществляется через командный сервер с помощью того же протокола (канала связи), который используется для управления сбором данных, например через электронную почту или созданный бэкдор.
Защита
Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам определяют трафик, типичный для вредоносного ПО. Сигнатуры являются, как правило, уникальными для протокола и могут быть основаны на определенных методах обфускации (превращения кода в произвольный на первый взгляд набор данных), характерных для конкретного злоумышленника или инструмента. Они будут отличаться для каждого семейства или версии ВПО. Сигнатуры взаимодействия с командными серверами могут меняться, а злоумышленники могут изобретать новые способы обхода стандартных средств защиты.
Обнаружение
Рекомендуется использовать систему анализа трафика (например, PT NAD) для отслеживания нетипичных потоков данных в сети (к примеру, когда клиент отправляет значительно больше данных, чем получает от сервера). Если процесс использует сеть, но обычно (или никогда) этого не делал, следует считать такое поведение подозрительными. Также можно анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта.
Эксфильтрация через альтернативный канал связи (Exfiltration over other network medium)
Для эксфильтрации данных злоумышленники могут использовать канал, отличный от канала связи с командным сервером. Например: если управление осуществляется через проводное интернет-соединение, то эксфильтрация может проводиться через Wi-Fi, модем, сотовую связь, Bluetooth или радиочастотный канал. Эти альтернативные каналы используются, если они не имеют защиты или защищены хуже, чем другие каналы сетевой среды. При использовании подобных методов эксфильтрации злоумышленник должен иметь соответствующий доступ к Wi-Fi-устройству или радиопередатчику (находиться в радиусе действия).
Защита
Настройка операционной системы: необходимо исключить возможность создания новых сетевых адаптеров, например путем ограничения прав.
Обнаружение
Отслеживайте процессы, которые обычно не используют сетевые подключения (или даже никогда не используют). Чтобы процесс обратился к сети, как правило, требуется некое действие со стороны пользователя, например нажатие клавиши. Доступ к сети без видимых причин считается подозрительным.
Отслеживайте изменения параметров основного адаптера, например добавление или дублирование интерфейсов связи.
Физическая эксфильтрация (Exfiltration over physical medium)
При определенных обстоятельствах, например в случае физической изоляции атакуемой сети, эксфильтрация данных может осуществляться с помощью физического устройства, например внешнего жесткого диска, флеш-карты, мобильного телефона или MP3-плеера. Физическое устройство может являться конечной точкой эксфильтрации данных или посредником между изолированной системой и системой, подключенной к интернету.
Защита
Отключение или удаление ненужной функции или программы: отключите автозапуск программ или сервисов, если в нем нет необходимости. Запретите или ограничьте использование съемных носителей на уровне корпоративной политики, если они не требуются для работы.
Обнаружение
Контролируйте доступ к файлам на съемных носителях, а также процессы, которые запускаются при подключении съемного носителя.
Передача по расписанию (Scheduled transfer)
Эксфильтрация данных может осуществляться в определенные часы или с определенным интервалом. Подобный метод позволяет злоумышленникам скрыть свою активность на фоне стандартных рабочих операций. Например: передача данных осуществляется только по рабочим дням с 10 до 15 часов, когда основная масса работников пользуется интернетом, отправляя письма и файлы по сети.
Совместно с эксфильтрацией по расписанию для хищения данных могут использоваться и другие техники, такие как эксфильтрация через командный сервер и эксфильтрация через альтернативный канал.
Защита
Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам определяют трафик, типичный для связи с командным сервером и вредоносного ПО. Сигнатуры являются, как правило, уникальными для протокола и могут быть основаны на определенных методах обфускации, характерных для конкретного злоумышленника или инструмента. Они будут различаться для каждого семейства или версии ВПО. Сигнатуры взаимодействия с командными серверами могут меняться, а злоумышленники могут изобретать новые способы обхода стандартных средств защиты.
Обнаружение
Контролируйте процессы доступа к файлам и сетевое поведение. Неизвестные процессы или сценарии, которые пытаются выйти за пределы назначенного каталога и отправить данные по сети, могут быть признаком вредоносной активности. Сетевые подключения к одному и тому же источнику, осуществляемые в одинаковое время несколько дней подряд, также требуют внимания.
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
- ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
- цель обработки ПД;
- перечень ПД, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПД.
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Политика обработки персональных данных: как составить документ
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
Персональные данные сотрудника: как с ними работать
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов ПД;
- нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания ПД;
- в отношении общедоступных ПД;
- если данные включают только ФИО субъектов ПД;
- для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
- если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
- если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
Иные виды ответственности и сопутствующие санкции
Предусматривается и гражданско-правовой тип нарушения по передаче персональных данных третьим лицам, статья 15 ГК, когда причиняются убытки (расходы на восстановление нарушенного права, не полученные доходы) при обходе закона. Тогда санкцией является возмещение причиненного ущерба. При нанесении морального вреда по ст. 24 закона о персональных данных, ст. 151 ГК, также предусматривается его компенсация, причем чаще всего в денежном эквиваленте.
Дисциплинарный вид ответственности применяется к работникам предприятия, которые были уличены в разглашении и передаче персональных данных третьим лицам, статья 81 ч. 1, п. 6, подпункт «в» ТК, в результате чего предусмотрено увольнение. При иных нарушениях в данной области ст. 90 и 192 ТК предполагает выговор или замечание.
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
- осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
- осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
- осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
- необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
- осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.
Разглашение каких персональных данных уголовно наказуемо (судебная практика)
Практика судов общей юрисдикции показывает, что понятие личной тайны трактуется предельно широко, в связи с чем привлечение к ответственности по ст. 137 УК РФ возможно за разглашение практически любых ПД. Отношение тех или иных сведений к личной или семейной тайне устанавливается на основании показаний потерпевшего.
Например, были признаны составляющими личную тайну:
- Ф. И. О., адрес, паспортные данные, дата рождения, абонентский номер (постановление Стерлитамакского городского суда Республики Башкортостан от 19.04.2012 по делу № 1-249/12);
- детализация телефонных соединений (приговор Соликамского городского суда Пермского края от 16.11.2011 по делу № 1-511/11);
- сведения о перемещениях автомобиля (приговор мирового судьи СУ № 28 г. Самары от 25.02.2015 по делу № 1-6/2015).