Что грозит за разглашение персональных данных
Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Какие меры необходимо предпринять по защите персональных данных сотрудников?
При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.
Среди мер защиты выделяют:
-
ограниченное число работников, которые имеют доступ к персданным;
-
принятие нормативных документов;
-
утверждение перечня документов, которые содержат пнд;
-
внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;
-
проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;
-
установление режима по пропускам;
Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.
Согласие на распространение персональных данных и согласие на обработку персональных данных — в чем разница
До принятия 519-ФЗ все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять. Попробую на примерах и в схемах объяснить нюансы.
Обработка — это любое действие с персональными данными, в том числе:
- сбор, запись, систематизация;
- накопление, хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование, удаление, уничтожение персональных данных.
Из этого следует, что распространение — это один из случаев передачи персональных данных. Он отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Передача персональных данных
В одном случае круг получателей не определен и не известен заранее. В другом — это известный получатель или определенный круг лиц.
Меры административной ответственности
Данный вид ответственности может быть назначен в отношении работодателя за следующие нарушения:
На предприятии отсутствуют официальные документы, которые определяют порядок работы с персональными данными, а также особенностями их хранения. В соответствии с действующими правилами в каждой организации должны присутствовать подобные локальные акты. Они утверждаются работодателем в официальном порядке и обязательно предоставляются подчиненным для подробного ознакомления.
Работодатель некачественно исполняет свои обязательства и не обеспечивает надлежащей сохранности личных данных его сотрудников
Подобное отношение нередко приводит к случайному доступу к ним посторонних лиц, к утечке важной информации, а также к иным неприятным событиям, которые приносят ущерб владельцам этих данных.
За каждое из вышеуказанных нарушений в отношении работодателя могут быть установлены предусмотренные законодательством меры административной ответственности. В большинстве случаев они выражаются в виде денежного штрафа. Размер определяется действующими законодательными нормами, а также степенью серьезности наступивших неблагоприятных последствий. Максимальный размер штрафа для юридического лица может достигать 50 000 рублей. Если данное нарушение совершается работодателем повторно – размер денежного взыскания может существенно возрасти.
Требования к работодателю по обработке и передаче персональных данных
Насколько необходимо Положение о персональных данных
Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.
Как составить приказ об утверждении положения о защите персональных данных работников?
Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.
Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:
- положение о защите персональных данных наемных сотрудников;
- обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
- согласие самого работника на обработку персональных данных.
ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись
Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.
Состав Положения о персональных данных
Разделы данного документа содержат следующие необходимые подпункты:
- общие сведения;
- перечисление данных, считающихся персональными в конкретной компании;
- регламент применения данной информации;
- особенности доступа к этим сведениям;
- меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
- приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Источник получения персональных данных
Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.
Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.
К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».
Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).
Кто такой оператор персональных данных и как он уведомляет о себе РКН
Когда включение в реестр операторов персональных данных не требуется?
Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор.
С 01.09.2022 года не уведомлять Роскомнадзор об обработке персональных данных можно только в следующих случаях:
- персональные данные включены в государственные автоматизированные информационные системы персональных данных либо информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка
- персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных
- персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства
Таким образом, с 01.09.2022 года операторы персональных данных должны уведомлять Роскомнадзор об обработке персональных данных, в том числе в следующих случаях:
- персональные данные обрабатываемых в соответствии с трудовым законодательством
- персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
- обрабатываются персональные данные членов (участников) общественного объединения или религиозной организации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных
- субъект персональных данных сделал свои данные общедоступными
- персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных
- персональные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях
Следствием подачи уведомления является включение организации в реестр операторов персональных данных. Включение компании в реестр операторов персональных данных Роскомнадзора может нести следующие последствия для деятельности компаний:
- увеличивается риск проведения в компании плановых и внеплановых проверок со стороны Роскомнадзора
- увеличивается вероятность блокировки интернет-сайта компании в случае обнаружения нарушений законодательства о персональных данных
- возникает вероятность наложения штрафов за нарушение законодательства об обработки персональных данных
Обратите внимание! Обязанности оператора персональных данных не ограничиваются только подачей уведомления в Роскомнадзор. Оператор должен разработать обязательные локальные акты по защите ПДн (в уведомлении сообщается о их наличии), а также соблюдать предусмотренные законом и локальными актами правила обработки, хранения и защиты ПДн.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Что делать, если обработка персональных данных проводится не на основании согласия, но я все равно хочу ее прекратить?
Рассмотрим несколько случаев.
Вы – клиент по договору и на основании договора (без отдельного согласия) уже передали оператору персональные данные в большем объеме, чем вам хотелось бы.
Вам необходимо детально изучить необходимые персональные данные для исполнения договора. Если на ваш взгляд, данных обрабатывается больше, чем требуется, написать обращение оператору о прекращении им обработки ненужных по отношению к исполнению договора персональных данных. Срок ответа на такое обращение не более 10 рабочих дней.
Вы соискатель или работник и ваши персональные данные обрабатываются исключительно на основании ТК РФ.
Без определенных персональных данных устроиться на работу не получится. Перечень документов определен ст. 65 ТК РФ. Однако работодатель не имеет право требовать от претендента на вакансию или работника предоставление персональных данных, превышающих необходимый объем (ч. 3 ст. 65 ТК РФ). Работник также имеет право полную информацию об их персональных данных и обработке этих данных (ст. 89 ТК РФ).
Если работодателю необходимы дополнительные данные, не связанные с трудоустройством, например, номер вашей банковской карты для зачисления туда заработной платы, то необходимо оформить согласие на обработку персональных данных для соответствующей цели. При расторжении трудового договора вы вправе написать заявление и отозвать согласие.
А вот данные, предоставленные при трудоустройстве, отозвать и удалить не получится. Они обрабатывались на основании ТК РФ, а значит продолжат обрабатываться и храниться в течение установленного времени. Потом их обработку продолжат в соответствии с требованиями законодательства в области архивного делопроизводства.
Вы не предоставляли свои данные, но их используют в рекламных или прочих целях.
Предположим, вам систематически названивают с предложением услуг или присылают персональные предложения на скидку. А может звонят коллекторы, чтобы заставить кого-то заплатить долг. Нужно уточнить, откуда получены ваши персональные данные.
Если данные получены от третьих лиц или из «открытых» источников, то вы можете подать жалобу в Роскомнадзор на незаконную обработку персональных данных, потому что право предоставлять ваши персональные данные имеете только вы или ваш законный представитель, оформленный соответствующим образом. Например, для несовершеннолетних детей – родители; для всех – человек, действующий на основе доверенности с правом совершать действия от имени субъекта персональных данных.
В начале мая, как раз, появился законопроект, предусматривающий повышение административного штрафа за незаконную обработку персональных данных без согласия субъекта (в случаях, когда оно необходимо):
-
для должностных лиц — до 300 тыс. рублей.
-
для юридических лиц — до 700 тыс. рублей.
Действия с персональными данными
Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).
При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.
Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.
Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.
Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор
Только после этого действия с ПД могут признаваться легитимными.
Уничтожайте персональные данные по новым правилам
Ирина Остапчук, руководитель практики по сопровождению IP- и IT-сделок Semenov&Pevzner:
Когда надо уничтожить данные
Оператор обязан уничтожить персональные данные:
- по требованию субъекта ПД, если данные неполные, устаревшие, неточные, получены незаконно или не являются необходимыми для заявленной цели обработки. Срок уничтожения – 7 рабочих дней со дня, когда субъект ПД сообщил о «дефектности» данных (ч. 1 ст. 14, ч. 3 ст. 20 Закона № 152-ФЗ);
- если выявили неправомерную обработку ПД и ее правомерность обеспечить невозможно. Срок уничтожения – 10 рабочих дней с даты выявления нарушения (ч. 3 ст. 21, п. 3 ч. 3 ст. 23 Закона № 152-ФЗ);
- если достигли цели обработки ПД. Срок уничтожения – 30 дней с даты достижения этой цели при условии, что иное не предусмотрено договором с субъектом ПД (ч. 4 ст. 21 Закона № 152-ФЗ);
- если субъект ПД отозвал согласие на обработку данных и их сохранение более не требуется для целей обработки. Срок уничтожения – 30 дней с даты поступления отзыва, если иное не предусмотрено договором с субъектом ПД (ч. 5 ст. 21 Закона № 152-ФЗ).
Если компания не может уничтожить ПД в указанные сроки, то необходимо заблокировать данные и обеспечить их уничтожение в течение 6 месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).
Если Роскомнадзор принял решение о запрете трансграничной передачи данных, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным гражданином или организацией ранее переданных им ПД (ч. 14 ст. 12 Закона № 152-ФЗ). Однако срок, в течение которого оператор должен обеспечить такое уничтожение, в законе не указан.
Как уничтожать данные
Оператор может сам выбрать способ уничтожения данных и закрепить его в своей политике по обработке ПД. Главное, чтобы этот способ исключал возможность восстановления данных.
Для бумажных и других материальных носителей, например CD-дисков, это может быть физическое уничтожение – сжигание, пропуск через шредер и т.д. Для уничтожения данных в электронной форме оператор может привлечь специализированные компании.
Чем подтвердить уничтожение данных
С 1 марта 2023 г. подтверждать уничтожение ПД надо в соответствии с требованиями, установленными в Приказе Роскомнадзора от 28 октября 2022 г. № 179.
- Если данные обрабатываются без автоматизации, то для подтверждения их уничтожения понадобится акт.
- Если данные обрабатываются с использованием средств автоматизации или осуществляется смешанная обработка, то необходимы акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Акт и выгрузка из журнала должны содержать сведения, которые обозначены в Приказе Роскомнадзора № 179. Если система не позволяет указать какие-то сведения, их нужно внести в акт вручную. Акт и выгрузку из журнала необходимо хранить 3 года с момента уничтожения ПД.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
Иные данные — это просто дополнительная информация, они часто могут меняться.
Согласие на обработку данных, разрешенных к распространению
Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Физическое лицо указывает: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Для индивидуального предпринимателя указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
Как дополнить уведомление новыми основаниями
Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).
Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.
Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.
Уведомление Роскомнадзора об обработке персональных данных
Штраф за неуведомление Роскомнадзора согласно ст. 19.7 КоАП составляет для юрлиц до 5.000 руб.
Большинству лиц не требуется уведомлять Роскомнадзор об обработке персональных данных!
Смотрим раздел 1 настоящей статьи – когда не требуется получать согласие на обработку персональных данных. В указанных же ситуациях не требуется уведомлять и Роскомнадзор об обработке персональных данных.
Не вносите вклад в дурную практику получения согласия на обработку персональных данных всегда и везде (как это рекомендуют делать юристы сомнительного уровня, например, Единого центра документов).
Меры материальной ответственности
В случае незаконного распространения директором личных сведений собственных подчиненных, в его отношении может быть установлена материальная ответственность. В подобной ситуации на директора могут быть возложены следующие виды компенсаций:
- выплата денежной компенсации за причиненный сотруднику материальный ущерб. Точный размер такой выплаты всегда определяется в индивидуальном порядке. Окончательная сумма будет зависеть от различных факторов, например, от степени серьезности совершенного работодателем нарушения, от ущерба, который был причинен служащему и т.д.;
- выплата дополнительной денежной компенсации за причиненный подчиненному моральный ущерб. Данный вид ущерба представляет собой оплату психологических страданий, которые стали следствием допущенных другой стороной нарушений. Размер такой компенсации также рассчитывается индивидуально. Важным нюансом здесь будет являться тот факт, что получить такую выплату заявитель сможет лишь в судебном порядке. В иске им может быть указана абсолютно любая сумма морального вреда. Суд, в свою очередь, вправе удовлетворить выплату этой суммы полностью либо только частично.
Требования к содержанию согласия на распространение персональных данных
Роскомнадзор планирует запустить единую информационную систему для управления согласиями персональных данных, разрешенных для распространения. Пока этой системы нет, единственным возможным способом получения согласия является предоставление согласия непосредственно оператору.
Письменная форма согласия требуется в случаях, если распространяются персональные данные, для обработки которых требуется письменная форма.
Каждый оператор должен разработать свой бланк согласия или веб-форму, предусмотрев в нем обязательные сведения, которые утвердил Роскомнадзор. Единой формы нет, Роскомнадзор утвердил лишь требования к содержанию согласия
Вот краткий чек-лист содержания согласия:
- Фамилия, имя, отчество субъекта.
- Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
- Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
- Сведения об информационных ресурсах, где будут распространятся персональные данные.
- Цель или цели распространения персональных данных.
- Категории и перечень персональных данных, распространение которых субъект разрешает.
- Категории и перечень персональных данных, для распространение которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.
- Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
- Четко определенный срок действия согласия.
Подробнее о каждом пункте читайте ниже. Читайте обязательно, потому что если согласие будет получено с нарушением или будет указана не вся информация, то считайте, что согласия нет. А за обработку персональных данных без согласия — новые штрафы и блокировка сайта.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
- Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
- Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
- Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
- В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.