Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные переданы третьим лицам. О передаче персональных данных третьим лицам». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.
Статья 137 УК РФ: наказание за разглашение персональных данных
Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д. Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя. Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.
Основные меры наказания прописаны в статьях 137 и 138 УК РФ:
- за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
- за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф
100-300 тысяч рублей либо в размере полученного за прошлые1-2 года официального дохода; - за разглашение сведений, касающихся субъектов младше 16 лет —
150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет; - за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Образец жалобы на незаконное использование персональных данных
В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
В Центральный банк Российской Федерации
От П.
Жалоба на использование персональных данных
Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.
В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
Звонки поступают со следующих номеров телефонов: …
Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.
В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.
Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Что относится к персональным данным?
Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.
Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:
Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.
Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Персональные данные или нет?
Персональные данные – это любая информация, относящаяся к определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных). К ним относятся:
- фамилия, имя, отчество;
- пол;
- возраст;
- место жительства;
- изображение сотрудника (фотография и видеозапись), которое позволяет установить личность;
- образование, квалификация, профессиональная подготовка;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии и т.д.);
- деловые и иные личные качества;
- медицинские сведения;
- номер телефона;
- прочие сведения, которые могут идентифицировать работника.
Можно ли сообщать персональные данные близким родственникам работника?
Нужно или не нужно согласие работника на передачу его ПД, например сведений о зарплате, его близким родственникам – законодательно не определено.
В Разъяснениях Роскомнадзора говорится только о том, нужно ли работодателю запрашивать согласие у самих родственников в необходимых случаях. В частности, поясняется, что допускается обработка персональных данных близких родственников работника без их согласия:
-
в объеме, предусмотренном личной карточкой по унифицированной форме Т-2, утвержденной Постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
-
в случаях, установленных законодательством РФ, – получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат.
Передать данные очень просто. Если требуется согласие, то его нужно дать в письменной форме или в виде электронной записи. Однако учтите, что регистрируясь на сайте интернет-магазина, нельзя передавать пин-коды карты.
СПРАВКА! Желательно также не делать отметки о своем доходе, медицинскую и личную информацию. Иными словами, если можно уменьшить количество сведений, которые вы передаете, то лучше это сделать.
Как передать данные третьим лицам:
- Определиться с набором сведений, которые будут переданы.
- Дать согласие на передачу.
- Получить информацию о возможном отзыве согласия (например, адрес электронной почты, куда можно направить заявление в случае, если вы передумаете).
После того как согласие будет передано, можно будет приступать к онлайн-покупкам или к выполнению трудовых обязанностей, пользоваться кредитом, страховкой и так далее.
Передача персональных данных третьим лицам
Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами (ст. 8 Закона РФ от 2 июля 1992 г. N 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании»). Комментируемая статья ограничивает право работодателя на получение информации о состоянии здоровья работника теми данными, на основании которых решается вопрос о возможности выполнения работником конкретной трудовой функции.
Хотя комментируемая статья позволяет работодателю получать информацию о состоянии здоровья работника (т. е. лица, уже вступившего в трудовые отношения с работодателем), необходимо отметить, что информация о состоянии здоровья гражданина необходима работодателю уже на стадии принятия решения о заключении трудового договора.
Передача персональных данных третьим лицам — что это такое
Под персональными данными с точки зрения международного и российского законодательства подразумевается любая информация прямо либо косвенно относящаяся к какому-либо конкретному человеку.
И законодательство большинства стран мира, равно как и международные нормативы по обеспечению защиты прав человека, обеспечивает защиту и персональных данных людей, так как они могут серьезно повлиять на безопасность и качество жизни отдельно взятого лица.
Более подробно о том, что такое персональные данные в России можно прочитать в отдельной статье, далее же будет рассматриваться непосредственно порядок их передачи и возможная ответственность за подобные действия.
Под передачей подразумевается предоставление информации, составляющей личные сведения, третьему лицу. При этом таковые действия могут осуществляться как в соответствии с законом, так и с нарушением действующего законодательства.
Передача может быть произведена в отношении любых видов персональных данных и в любом виде — как в устном, так и в письменном, визуальном или электронном.
Передача является одним из частных случаев обработки персональных данных, которая, в свою очередь, включает в себя и иные виды работы с рассматриваемой информацией.
Передачу личной информации может осуществлять как юридическое лицо, так и физическое лицо, что важно в рамках определения ответственности если данные действия являлись незаконными.
Значение имеет характер сведений, цели передачи данных и статус лиц, получающих или передающих таковую информацию. В зависимости от вышеозначенных факторов также может изменяться легальность подобных действий, если они проводятся без получения согласия лица, которого касается означенная информация.
Следует различать понятия передачи и разглашения персональных данных. Под передачей подразумевается персонифицированное предоставление сведений о физическом лице одному или нескольким третьим лицам в определенных целях. Разглашение же предусматривает широкое и не персональное предоставление доступа к личным сведениям заранее не определенному кругу лиц.
Компания использует персональные данные клиентов. Кому их можно передать без согласия субъекта?
Вопросы использования компаниями персональных данных клиентов находятся под пристальным вниманием законодателя и контролирующих органов. В настоящее время установлен достаточно широкий перечень требований к получению согласия клиента и обработке полученных данных.
Многие такие требования закреплены в подзаконных актах, и хозяйствующим субъектам оказывается достаточно проблематично отследить вносимые в них изменения. При этом подход контролирующих лиц может оказаться довольно формальным, что ведет к применению мер административной ответственности.
В особенности это касается вопросов передачи персональных данных третьим лицам (например, коллекторским агентствам), а также использования их в маркетинговых целях. Судебная практика в данной сфере также достаточно противоречива.
Поэтому компаниям важно не только тщательно отслеживать актуальные изменения законодательства, но и анализировать подходы судебных органов, чтобы избежать ответственности за нарушение требований о защите персональных данных.
Для передачи персональных данных клиента нужно его прямое письменное согласие
Общие правила привлечения юридического лица к административной ответственности установлены в КоАП РФ.
Однако особенностью данного вида ответственности является необходимость полного установления фактических обстоятельства дела в момент принятия решения о привлечении к ответственности или об отказе в привлечении.
То есть уполномоченный орган должен не только соблюсти порядок привлечения лица к ответственности, но и установить весь объем обстоятельств, который позволил бы установить виновность именно данного лица в совершении правонарушения.
Зачастую применение мер ответственности также осложняется спецификой общественных отношений, в рамках которых было совершено нарушение норм действующего законодательства.
С учетом специфики экономической деятельности объектом административного правонарушения, как правило, становятся охраняемые законом персональные данные физического лица.
При этом защита персональных данных чаще всего осуществляется в рамках общественных отношений, в которых физическое лицо выступает в качестве более слабой (с правовой точки зрения) стороны, а потому нуждается в существенной правовой поддержке со стороны законодателя.
Защита персональных данных физических лиц регулируется положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
При этом такая защита подразумевается и имеет особо важное значение при осуществлении с такими данными следующих операций: хранение, обработка и передача.
Любая деятельность, связанная с этими операциями в отношении персональных данных, должна осуществляться с соблюдением требований законодательства. А в случае несоблюдения таких требований нарушитель может быть привлечен к административной ответственности.
Наиболее широко персональные данные физических лиц используются кредитными организациями, в отношениях с которыми физические лица выступают потребителями предлагаемых экономических продуктов. При этом существует сразу несколько возможных нарушений требований законодательства о защите персональных данных со стороны кредитных организаций.
Первой группой нарушений является использование персональных данных физических лиц кредитными организациями при заключении ими договоров с так называемыми «коллекторами».
При этом следует отметить, что практике известны два различных вида таких договоров: договор уступки прав требования (цессии) между кредитной организацией и коллекторским агентством и агентский договор между указанными сторонами.
В обоих случаях для исполнения договоров необходима и подразумевается передача персональных данных физического лица, которое не исполняет принятые на себя обязательства по возврату полученного кредита.
При заключении такого рода договоров кредитная организация рискует быть привлеченной к ответственности, поскольку передача персональных данных заемщика юридическому лицу, которое не обладает лицензией на осуществление соответствующей деятельности, может быть признана нарушением действующего законодательства. Как правило, основанием для привлечения кредитной организации к ответственности при нарушении требований законодательства о защите персональных данных является отсутствие письменного согласия физического лица на передачу своих персональных данных (хотя в соответствии с требованиями законодательства такое согласие является обязательным и должно быть выражено в соглашении между субъектом и оператором персональных данных). Согласие должно быть выражено в письменной форме, быть ясным и недвусмысленным.
Передать данные клиента без его согласия можно для защиты интересов оператора
При разрешении вопроса о привлечении юридических лиц к ответственности за нарушение законодательства о персональных данных судебные органы сталкиваются со следующей правовой коллизией. Передача персональных данных заемщика действительно запрещена без его прямого письменного согласия.
Однако законодатель предусмотрел ряд случаев, в которых такая передача возможна и без согласия заемщика.
В частности, оператор вправе проводить обработку персональных данных без согласия физического лица, если такая обработка необходима для исполнения договора, стороной кот��рого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (физическое лицо).
Также исключением являются случаи, в которых обработка персональных данных без согласия субъекта необходима для осуществления прав и законных интересов оператора (п. 5, 7 ст. 6; п. 2 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»). Очевидно, что привлечение третьего субъекта осуществляется оператором (кредитной организацией) для защиты своих законных интересов, поскольку со стороны заемщика имеет место неисполнение принятых на себя обязательств.
Передача третьим лицам персональных данных, а именно телефонного номера и сопутствующих сведений о его владельце, включая подробное описание финансового достатка и семейного положения, уровня образования, также считается нарушением закона.
Подобные случаи могут возникнуть, когда кредитные компании или фирмы, желающие заполучить новых клиентов, могут попросить дать информацию о знакомых, родственниках, которых может заинтересовать предлагаемая услуга. Многие, не подозревая ничего плохого, без сомнений выкладывают консультантам необходимые сведения о номерах телефонов, их владельцах, даже уровне заработка. На первый взгляд, обыденная информация, но обнародованная без согласия владельца может стать частью административного правонарушения – статья 13.11 КоАП РФ, за пренебрежение законом 152-ФЗ «О персональных данных». Чтобы не стать заложником неловкой ситуации, необходимо избегать передачи персональных данных третьим лицам без согласия.
Защита личной информации
Чтобы не дать своим индивидуальным сведениям попасть в оборот обработки информации нежелательных личностей, стоит помнить, что на каждый подобный запрос необходимо подписывать лично документально подтвержденное согласие. Например, во многих финансовых организациях считают, что с заключением договора с клиентом, согласие гражданина на обработку его личной информации автоматически распространяется на последующую возможную передачу банками персональных данных третьим лицам – коллекторским агентствам. Если данного пункта нет в подписанном между клиентом и банком договоре, разглашение сведений о кредитополучателе представителям подобного рода компаний – незаконно. Важный аспект – быть внимательным при прочтении каждого договора, чтобы при нарушении любого из пунктов были основания для подачи иска в суд.
Как заблокировать передачу своих персональных данных с телефона?
Так что если вас беспокоит сохранность данных о вашей активности в приложениях, то вам стоит бояться не WhatsApp, а Instagram* и Facebook*. И если такое положение дел вас не устраивает, то вы можете решить проблему либо радикально, полностью отказавшись от использования сервисов, либо свести работу с ними к минимуму (актуально для пользователей Android),
Обновить свой iPhone до iOS 14.5, если вы еще не сделали этого, с тех пор каждое приложение будет иметь возможность предоставлять личное разрешение на сбор пользовательских данных из сторонних приложений и сторонних веб-сайтов в рекламных целях и перед передачей пользовательских данных информационным брокерам.
Но в любом случае ваш смартфон никогда не будет полностью приватным. Даже если на нем ничего не установлено, кроме Clubhouse и Telegram.
Когда персональные данные по адвокатскому запросу могут быть предоставлены
Согласно ст.7 152-ФЗ, лица, имеющие доступ к персональным данным, обязаны не передавать информацию третьим лицам без согласия на то субъектов персональных данных. Иными словами, если гражданин, предоставивший свои персональные данные, дал такое согласие, то сведения могут быть переданы в рамках адвокатского запроса.
«Практически все операторы, собирающие персональные данные, «добровольно-принудительно» просят граждан поставить свое согласие в графе о согласии на обработку персональных данных (или согласиться с Политикой конфиденциальности, в которой уже содержатся соответствующие положения). Часто без такого согласия физлицо фактически не может зарегистрировать свой сайт, получить кредит в банке или оставить комментарий на форуме. По этой причине, например, через адвокатский запрос вполне возможно узнать администратора доменного имени для последующего обращения в суд».
Что делать гражданину, не желающему, чтобы его персональные данные передавались третьим лицам (в том числе через адвокатский запрос)? Физлицо вправе отозвать свое согласие путем направления соответствующего уведомления в адрес оператора (например, администратора доменного имени и т.д.). Точный адрес для отправки уведомлений, как правило, указывается в Политике конфиденциальности. Оператор, получивший письмо, обязан удалить персональные данные в течение 30 дней. Однако гражданин должен быть готов к тому, что вторая сторона прекратит договорные отношения.
Можно ли сделать частичный отзыв согласия на обработку персональных данных (например, запретить компании только передачу данных третьим лицам или ограничить обработку какой-то определенной информации)? Есть ли возможность защитить бизнес и продолжать получать нужные услуги? На практике многие организации говорят четкое «нет», ссылаясь на то, что без передачи данных другим лицам они не смогут оказывать услуги гражданину. Другие компании допускают такой вариант, предлагая клиенту заключить дополнительное соглашение. Однако, с нашей точки зрения, граждане могут осуществить частичный отзыв согласия на обработку персональных данных.