Горячая линия + 7(3842) 900 965

Кадры. Согласие на распространение персональных данных: новые требования

В марте 2021 года вступили в силу изменения, связанные с использованием персональных данных граждан путем их распространения среди неопределенного круга лиц. Нововведения касаются в т.ч. и работодателей, которые так или иначе раскрывают персональные данные работников для неограниченного круга. Например, размещая краткую информацию о своих сотрудниках в Интернете на корпоративном сайте или на доске информации в офисе. Новые правила требуют более внимательного и ответственного отношения со стороны компаний, которые в своей деятельности используют персональную информацию, защищаемую законом. Читайте обо всех ключевых изменениях, а также используйте в работе приведенные в статье образцы согласия на обработку персональных данных, разрешенных для распространения, и его отзыва.

Распространение персональных данных

По новым правилам для распространения персональных данных неопределенному кругу лиц субъект (физическое лицо) должен дать согласие, в котором четко и недвусмысленно указать на такую возможность <1>.

———————————

<1> Статья 10.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персданных), внесенная Федеральным законом от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», которая начала действовать с 01.03.2021.

 

Ключевые слова здесь — распространение персональных данных неопределенному кругу лиц. Когда это возможно? Например:

— компания размещает на своем официальном сайте или иных информационных сайтах информацию о своих довольных клиентах с историями об оказанной им услуге или сделанной работе либо

— организация-работодатель в разделе «Наша команда» указывает краткую информацию о своих работниках с их фотографиями и контактной информацией и пр.

Ситуации довольно распространенные.

 

Примечание. См. статью «Топ-8 вопросов о согласии работника на обработку персональных данных» в N 6, 2019, на с. 27.

 

Форма согласия на распространение таких персданных не утверждена, однако ее содержание можно определить на основании требований ст. 10.1 Закона о персданных и Приказа Роскомнадзора N 18 <2>. Самое главное — согласие на распространение таких персональных данных оформляется отдельно от иных согласий. При этом оператор должен предоставить субъекту возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку персональных данных, разрешенных гражданином для распространения. В документе должны быть указаны:

— Ф.И.О., контактная информация субъекта (телефон, электронная почта или почтовый адрес);

— сведения об операторе (наименование, адрес из ЕГРЮЛ, ИНН, ОГРН <3>) и его информационных ресурсах (например: https://…, http://www…);

— цели обработки персональных данных, их категории и перечень с выделением тех данных, для которых предусматриваются особые условия и запреты, связанные с обработкой, а также срок действия согласия.

———————————

<2> Здесь и далее имеется в виду Приказ Роскомнадзора от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Документ вступает в силу с 01.09.2021, но изложенные в нем требования можно отразить в тексте согласия уже сейчас.

<3> Если оператор — физическое лицо, то его Ф.И.О., место жительства или место пребывания, если — ИП, то Ф.И.О., ИНН, ОГРН.

 

Обратите внимание: требования указать в согласии паспортные данные и адрес регистрации субъекта нет. Поэтому их можно в согласие не включать, если вы их не знаете и у гражданина нет намерения вам их предоставлять. Вместе с тем если такие данные у вас есть, то их целесообразно в согласие включить, поскольку обязанность доказывать законность распространения персданных лежит на операторе, осуществившем их распространение. А значит, чем лучше у вас составлены документы, тем проще вам будет доказать законность своих действий в случае возникновения спора или претензий со стороны контролеров.

В Приказе Роскомнадзора N 18 персональные данные разделены на три категории. Рекомендуем именно так указать их в согласии, чтобы гражданин мог выбрать, какие сведения он разрешает о себе распространять неограниченному кругу лиц, а какие нет (схема).

 

Схема. Категории и перечень персональных данных

 

ОбщиеФ.И.О., год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персданных
 
СпециальныеРасовая, национальная принадлежность, политические взгляды, религиозные, философские убеждения, состояние здоровья, интимной жизни, сведения о судимости
 
БиометрическиеФотографии, аудио- и видеозаписи и пр. сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность

 

Когда каждый в ответе

 

Примечание. См. статью «Как избежать рисков до заключения трудового договора с кандидатом» в N 5, 2017, на с. 17.

 

Субъект может дать согласие на распространение своих персональных данных неопределенному кругу лиц, однако это не означает, что все участники гражданского оборота получают право их использовать. Напротив, как мы отметили выше, обязанность предоставить доказательства законности последующего распространения (или иной обработки) персональных данных лежит на каждом лице, осуществившем такие действия. Например, если гражданин зарегистрировал аккаунт в социальной сети, заполнил его персональной информацией, выбрав в настройках онлайн-площадки возможность демонстрации страницы всем пользователям сети Интернет, это не означает, что не требуется получение его согласия на такое использование. Потенциальный работодатель или, скажем, коллекторское агентство для обработки персональных данных должны получать его согласие, поскольку такая обязанность законом возложена на каждого участника гражданского оборота, который занимается обработкой или распространением персданных.

Аналогичная обязанность предусмотрена законом и для случая, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие преступления, иного правонарушения или обстоятельств непреодолимой силы. Вспомним далеко не редкую ситуацию, когда персональная информация сотрудников и клиентов банка попала в открытый доступ в Интернете из-за низкого качества работы по обеспечению информационной безопасности или взлома системы. Все лица, которые получили возможность ознакомиться с такими персональными данными, обязаны получать согласие субъектов.

 

Согласен, но не на все

 

Оператор всегда связан содержанием согласия, которое ему предоставил субъект. Если, к примеру, гражданин согласился на обработку данных без права их распространения, то оператор может заниматься только их обработкой.

Согласие на распространение персональных данных не действует по умолчанию. Его всегда нужно получать от гражданина и оговаривать в нем предоставление такого права с указанием категорий данных. Оно может быть предоставлено субъектом как непосредственно оператору, так и дистанционно с использованием информационной системы Роскомнадзора (см. п. 2 ч. 6 ст. 10.1 Закона о персданных). Второй способ сбора согласий на распространение персональных данных будет применяться только с 01.07.2021, когда будут разработаны соответствующие правила.

В согласии гражданин может установить запрет:

— на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц;

— на обработку персональных данных неограниченным кругом лиц (или включить условия такой обработки, например разрешить обработку своей персональной информации в одних целях и запретить в других).

Отказ оператора в установлении указанных запретов и условий не допускается.

Обратите внимание: в согласии должно быть четко указано, что разрешает гражданин и устанавливает ли какие-то запреты или ограничения. То есть если в документе прямо не указано, что субъект персональных данных не установил запреты и условия их обработки, передавать их неограниченному кругу лиц нельзя (ч. 5 ст. 10.1 Закона о персданных).

Если же запреты и условия обработки гражданин ввел, то третьи лица должны быть об этом оповещены (ч. 10 ст. 10.1 Закона о персданных). Сделать это необходимо в течение 3 рабочих дней. Рекомендуем указать ограничения там же, где опубликованы персданные гражданина.

У данного правила есть и исключение: запреты и особые условия не применяются, если обработка персданных осуществляется в государственных, общественных и иных публичных интересах (ч. 11 ст. 10.1 Закона о персданных). Если речь идет, скажем, о всероссийской переписи населения, включении данных в состав федеральных информационных ресурсов и др.

Кроме того, не требуется получение согласия на распространение персональных данных, когда это необходимо для реализации полномочий органов публичной власти (ч. 15 ст. 10.1 Закона о персданных). Так, до прошлого года в выписке из ЕГРЮЛ были опубликованы не только Ф.И.О. генерального директора, но и номер его телефона.

 

Ну-ка прекрати!

 

Субъект персональных данных, давший согласие на их распространение, в любой момент может его отозвать. С таким требованием он вправе обратиться как к оператору, так и к иным лицам, которые обрабатывают эти сведения. Срок для прекращения передачи (распространения, предоставления и доступа) таких персональных данных не должен превышать 3 рабочих дней с момента получения требования <4> (ч. 14 ст. 10.1 Закона о персданных).

———————————

<4> Или передача должна быть прекращена в срок, указанный во вступившем в силу решении суда, а если он не указан, то в течение 3 рабочих дней с даты вступления в законную силу решения суда.

 

Примечание. См. статью «Какие данные являются персональными: позиция суда» в N 5, 2021, на с. 57.

 

В письменном отзыве согласия обязательно должны быть указаны:

— Ф.И.О. и контактная информация гражданина (номер телефона, адрес электронной почты или почтовый адрес);

— перечень персданных, передача которых подлежит прекращению.

Обратите внимание: к контактным данным в отзыве согласия отнесены номер телефона и адрес электронной почты (или почтовый адрес). Таким образом, закон разделяет персданные и контактную информацию, что является дополнительным аргументом в пользу того, что номер телефона и адрес электронной почты не являются персональными данными.

Кстати, в судебной практике большинство судов все же считает, что номер телефона относится к персональным данным, поскольку их перечень не является исчерпывающим. Таких решений очень много, их приводить не имеет смысла. А вот в поддержку иного подхода судебных актов меньше, поэтому сошлемся на них, чтобы при необходимости можно было использовать такую практику судов как аргумент в случае спора.

 

Судебная практика. Номер телефона без указания его владельца (фамилии, имени, отчества) не является информацией, на основании которой можно однозначно идентифицировать субъект персональных данных, а потому само по себе использование телефонного номера не может свидетельствовать о нарушении прав субъекта персональных данных. Такой подход можно встретить в следующих судебных актах: апелляционные определения Белгородского областного суда от 16.01.2020 N 33а-130/2020, Курганского областного суда от 07.09.2017 по делу N 33-2984/2017, Омского областного суда от 27.02.2019 по делу N 33-1370/2019, решения Октябрьского районного суда г. Белгорода от 12.09.2019 N 12-393/2019, Заельцовского районного суда города Новосибирска от 31.01.2017 по делу N 2-728/2017 и др.

 

А теперь приведем образцы согласия и отзыва согласия на обработку персданных, разрешенных для распространения. В качестве примера возьмем ситуацию, когда такое согласие дает сотрудник организации для размещения на корпоративном сайте информации о себе и своих профессиональных успехах и достижениях, а также некоторых других данных.

 

Пример 1. Согласие на обработку персональных данных, разрешенных для распространения.

 

Пример 2. Фрагмент отзыва согласия на обработку персональных данных, разрешенных для распространения.

 

Персданные от контрагента-оператора

Примечание. См. статью «Когда может понадобиться обезличивание персональных данных» в N 8, 2019, на с. 29.

 

Если персональные данные предоставляются вам от оператора, то в договоре с ним нужно прямо указать, что он гарантирует наличие всех необходимых согласий, включая согласие на распространение персданных. Таким образом, в случае предъявления каких-либо требований со стороны самих субъектов персданных или контролирующих лиц оператор должен будет самостоятельно и за свой счет урегулировать все спорные вопросы, а также в полном объеме возместить ваши убытки, включая суммы компенсаций морального вреда, административных штрафов, а также любых иных сумм в любом размере независимо от их правовой природы и оснований предъявления контрагенту к уплате.

Наличие в договоре с оператором такого условия позволит если не полностью исключить риск нарушения установленного законом порядка обработки персональных данных, то во всяком случае минимизировать его, создав источник возмещения своих возможных имущественных потерь. Указанное договорное условие соответствует положениям ст. 15, 393 и 421 ГК РФ и не нарушает права оператора, который со своей стороны обязан соблюдать требования законодательства о персональных данных.

 

Ответственность за нарушения

 

В случае нарушения установленных правил нарушитель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ. Кстати, размеры штрафов за нарушения в области персданных с конца марта значительно возросли, а предупреждение как вид наказания и вовсе исчезло из Кодекса (см. Таблицу, в которой мы систематизированно привели актуальные размеры санкций).

Кроме административной ответственности, по искам самого субъекта нарушители могут быть привлечены и к гражданско-правовой ответственности. Обычно при нарушении законодательства о защите персданных граждане в соответствии со ст. 12 ГК РФ используют такие способы защиты, как требования:

прекратить использование персональных данных;

удалить или блокировать их <5>.

———————————

<5> См., например, решения Аксайского районного суда Ростовской области от 08.02.2021 N 2-174/2021, Фрунзенского районного суда г. Санкт-Петербурга от 11.01.2021 по делу N 2-3764/2020 и др.

 

Граждане нередко просят у суда взыскать компенсацию морального вреда. Правда, на большие суммы можно особо не рассчитывать. В среднем в нашей стране суды оценивают моральный вред незначительно (в размере 3 000 — 5 000 рублей) <6>.

———————————

<6> См., например, решение Балашихинского городского суда Московской области от 25.02.2021 по делу N 2-497/2021.

 

Таблица. Наказания за нарушения в области персданных по ст. 13.11 КоАП РФ

Часть статьи 13.11 КоАП РФЗа что наказаниеРазмер штрафа в рублях
для юридических лицдля должностных лицдля ИПдля граждан
1Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персданных, несовместимая с целями их сбора (за исключением случаев из ч. 2)от 60 000

до 100 000

от 10 000

до 20 000

от 10 000

до 20 000 <7>

от 2 000

до 6 000

1.1Повторное правонарушение по ч. 1от 100 000

до 300 000

от 20 000

до 50 000

от 50 000

до 100 000

от 4 000

до 12 000

2Обработка персданных без согласия в письменной форме субъекта персданных (в случаях, когда такое согласие должно быть) либо если согласие не содержит необходимых сведенийот 30 000

до 150 000

от 20 000

до 40 000

от 20 000

до 40 000 <8>

от 6 000

до 10 000

2.1Повторное правонарушение по ч. 2от 300 000

до 500 000

от 40 000

до 100 000

от 100 000

до 300 000

от 10 000

до 20 000

3Неопубликование оператором политики обработки персданных или сведений о реализуемых требованиях к их защите (отсутствие неограниченного доступа к ним)от 30 000

до 60 000

от 6 000

до 12 000

от 10 000

до 20 000

от 1 500

до 3 000

4Непредоставление субъекту персданных информации, касающейся их обработкиот 40 000

до 80 000

от 8 000

до 12 000

от 20 000

до 30 000

от 2 000

до 4 000

5Невыполнение оператором в установленные сроки уточнения, блокирования или уничтожения персданныхот 50 000

до 90 000

от 8 000

до 20 000

от 20 000

до 40 000

от 2 000

до 4 000

5.1Повторное правонарушение по ч. 5от 300 000

до 500 000

от 30 000

до 50 000

от 50 000

до 100 000

от 20 000

до 30 000

6Несоблюдение условий, обеспечивающих сохранность персданных, если это повлекло неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение (при обработке персданных без использования средств автоматизации)от 50 000

до 100 000

от 8 000

до 20 000

от 20 000

до 40 000

от 1 500

до 4 000

 

 

———————————

<7> См. ст. 2.4 КоАП РФ, согласно которой ИП, совершившие административное правонарушение, несут ответственность как должностные лица, если КоАП РФ не установлено иное.

<8> То же самое.

 

Помимо административной и гражданско-правовой ответственности нарушитель может быть привлечен и к уголовной на основании ст. 137 УК РФ за нарушение неприкосновенности частной жизни. Но если в первом и втором случае к ответственности будет привлечена сама организация — нарушитель и, возможно, ее должностные лица, то в случае с уголовной ответственностью это может быть только гражданин, например руководитель организации (или иное ответственное лицо). Как показывает практика, уголовная ответственность наступает за наиболее тяжкие деяния, которые заключаются не просто в разглашении персональных данных или в их ином незаконном использовании, а в причинении вреда имущественным или личным неимущественным правам субъекта. Скажем, рассылка личных сообщений, фото или видео гражданина третьим лицам или размещение их во всеобщем доступе (кассационное определение Седьмого кассационного суда общей юрисдикции от 10.06.2020 N 77-889/2020).

 

Мнение. Алена Геращенко, юрист-аналитик отдела консалтинга Департамента информационной безопасности АО «Ай-Теко»

Хотелось бы остановиться на нескольких моментах. Во-первых, надо отличать персональные данные, разрешенные для распространения, и общедоступные персональные данные. Первые доводятся оператором до всеобщего сведения только при наличии явного согласия субъекта, составленного по правилам, утвержденным Роскомнадзором. Вторые (например, в справочниках и книгах) делаются доступными неопределенному кругу лиц самим субъектом персональных данных либо по его просьбе/поручению (см., например, решение Арбитражного суда города Москвы от 05.05.2017 по делу N А40-5250/17-144-51).

Изначально предполагалось, что требования о персональных данных, разрешенных для распространения, будут относиться к социальным сетям. Однако на практике они затронули всех участников публичного пространства в Интернете. Если компания публикует сведения о своих работниках (например, Ф.И.О., фотографическое изображение, наименование должности, опыт работы, сведения о хобби) на своем официальном сайте или передает такие данные на публикацию другой платформе, отвечающей за рекламу компании и выстраивание доверия по отношению к ней, то такие персональные данные могут размещаться только в статусе «разрешенных для распространения».

Во-вторых, стоит сказать о взаимосвязи репутации компании и персональных данных, разрешенных для распространения. Если цель публикации с использованием персональных данных работников, разрешенных для распространения, — обеспечить открытость деятельности компании, рассказать об атмосфере в организации и таким образом привлечь новых контрагентов или клиентов, то очевидно, что такие персональные данные оказывают влияние на деловую репутацию компании (ст. 152 ГК РФ) и ее бренд. Здесь надо понимать, что деловая репутация компании, публикующей персданные, разрешенные для распространения, может подлежать двойной оценке:

— с одной стороны, формальной. Происходит оценка репутации компании с точки зрения соблюдения или несоблюдения ею требований законодательства о персональных данных. Доверие к компании будет расти, если на сайте вместе с этими сведениями будет публиковаться информация об условиях их обработки и о запретах, установленных в отношении них. Такая обязанность оператора установлена в ч. 10 ст. 10.1 Закона о персданных;

— с другой, сущностной. Происходит непосредственная оценка опубликованных персональных данных — а именно того, насколько они позволяют сформировать действительный образ работника компании и самой компании. Работодатель должен ответственно подходить к выбору персональных данных для публикации на сайте, а также проверять их на соответствие действительности (абз. 4 п. 7 постановления Пленума Верховного Суда РФ от 24.02.2005 N 3 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц»).

В-третьих, уточним, что если речь идет о трудовых отношениях, то в качестве срока действия согласия на распространение персданных лучше всего указать срок действия трудового договора или срок осуществления трудовых правоотношений. В согласии нельзя написать, как советуют некоторые специалисты, что оно действует до его отзыва. Такая формулировка лишает его конкретности, которая предусмотрена ч. 1 ст. 9 Закона о персданных.

В-четвертых, отдельно остановимся на вопросе запретов и условий обработки персданных, разрешенных для распространения. Субъект персональных данных вправе свободно, своей волей и в своем интересе определить в согласии на обработку персональных данных, разрешенных для распространения:

1) условия и запреты, связанные с такой обработкой;

2) условия, при которых его персональные данные могут передаваться оператором только по его внутренней сети, к которой есть доступ у ограниченного списка сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи таких данных. В последнем случае данные не передаются, к ним предоставляется доступ.

Ограничения устанавливаются самим субъектом — для этого в согласии рекомендуется предусмотреть пустое поле, где он сможет их зафиксировать. К примерам условий и запретов можно отнести следующие формулировки:

— запрещаю трансграничную передачу моих персональных данных;

— даю согласие на трансграничную передачу моих персональных данных в следующие государства: ________________________________________________;

— запрещаю объединять мои персональные данные с иными персональными данными, обрабатываемыми оператором и третьими лицами при наличии моего согласия для иных целей;

— запрещаю обработку моих персональных данных без использования средств автоматизации;

— настоящим разрешаю передавать мои персональные данные по внутренней сети, доступ к которой есть у лиц — сотрудников отдела информационной безопасности.

 

А. Росиков

Начальник

юридического департамента

ООО «Барристер плюс»

Подписано в печать

26.05.2021

Документ:Статья: Согласие на распространение персональных данных: новые требования (Росиков А.) («Кадровая служба и управление персоналом предприятия», 2021, N 6) {КонсультантПлюс}

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Имя *

    Заказать звонок



    Ошибка: Контактная форма не найдена.

    Ошибка: Контактная форма не найдена.

    Ошибка: Контактная форма не найдена.

      Я даю согласие на обработку персональных данных