Вход на сайт
•   17.09.2018 09:00 Просим сообщать о фактах нарушения трудовых прав, невыплаты заработной платы по телефонам: 32-93-29, 32-90-56, в том числе на условиях анонимности.   •   21.08.2018 09:00 Горячая линия о нарушениях прав участников долевого строительства жилья - тел. 32-93-29, 32-90-57   •   28.04.2018 17:43 Прокуратурой области принимаются заявки на участие во 2 этапе конкурса «Юный правозащитник» в МДЛ «Артек».   •   12.01.2018 09:00 Продолжает действовать "горячая линия" для сообщений о фактах незаконного оборота наркотических средств и психотропных веществ. Тел. 523-523   
Главная » Прокурор разъясняет

С 1 июля 2017 года вступает в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», ужесточающий ответственность за нарушения в области обработки персональных данных граждан


Дата: 07.06.2017

Конституция Российской Федерации закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну (статья 23 Конституции РФ). Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (статья 24 Конституции РФ).

Развивая положения Конституции, Федеральный закон от 27 июля 2006 г. «О персональных данных» (далее - Закон о персональных данных) определяет понятие «конфиденциальность персональных данных» - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (статья 3).

Законодательство Российской Федерации обобщенно толкует понятие «персональные данные». Так, согласно п. 1 ст. 3 Закона о персональных данных под ними понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД). Какие именно сведения здесь имеются в виду, не уточняется ни в названном Законе, ни в ТК РФ (гл. 14 посвящена защите персональных данных работника). Тем не менее к личным данным можно причислить информацию, на основании которой происходит идентификация гражданина, в частности:

- фамилию, имя, отчество;

- дату и место рождения;

- адрес места жительства (место регистрации);

- семейное, социальное и имущественное положение;

- образование, специальность, профессию.

Суды уточняют этот перечень. Так, они отнесли к персональным данным номер мобильного телефона (Апелляционное определение Алтайского краевого суда от 29.09.2015 по делу № 33-9241/2015), фотографии (изображения) гражданина (Апелляционное определение Свердловского областного суда от 09.04.2015 по делу № 33-5232/2015). Хотя ответчики, действия которых и повлекли судебные разбирательства, настаивали на обратном, заявляя, что указанная информация в Законе № 152-ФЗ прямо не поименована.

В свою очередь, голос человека (аудиозапись разговора с ним) не отнесен к персональным данным (в том числе биометрическим), которые нужно защищать (Апелляционное определение ВС Республики Татарстан от 27.04.2015 по делу № 33-6211/15). Аналогичный вывод сделал Санкт-Петербургский городской суд в отношении идентификационного номера налогоплательщика (Апелляционное определение от 03.02.2015 № 33-1644/2015 по делу № 2-3097/2014). Судьи указали, что ИНН не содержит какой-либо информации личного характера, касающейся конкретного физического лица. В силу норм налогового законодательства ИНН применяется только для контроля выполнения гражданами обязанности по уплате налогов.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона о персональных данных;

Отдельно следует сказать про обработку биометрических персональных данных. В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Соответственно, в контексте Федерального закона «О персональных данных» отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица, если иное не предусмотрено федеральными законами и принятыми на их основе нормативными правовыми актами.

По существу обработки фото- или видеоизображения субъекта персональных данных и распространения на указанную деятельность положений ст. 11 Федерального закона «О персональных данных» необходимо отметить следующее. В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители). Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах.

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников, не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

Необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, в том числе фотографического изображения.

В случае, если они используются оператором для установления личности субъекта персональных данных (в том числе в случае проведения такой процедуры представителями операторов, имеющими полномочия на установление личности владельца паспорта), то данная обработка должна осуществляться в строгом соответствии со ст. 11 Федерального закона «О персональных данных».

Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.

Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным. В соответствии с ч. 1 ст. 11 Федерального закона «О персональных данных» обработка биометрических персональных данных в подобных случаях может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

Не является биометрическими персональными данными фотографическое изображение, содержащееся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

В свою очередь под распространением персональных данных понимаются действия, направленные на их передачу определенному кругу лиц или на ознакомление с ними неопределенного круга лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Следует особо подчеркнуть, что операторы и третьи лица, получающие доступ к персональным данным физического лица, обязаны соблюдать установленное статьей 7 Закона о персональных данных требование конфиденциальности, за исключением случаев, когда персональные данные обезличены или являются общедоступными.

Государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных (операторы), обязаны до начала их обработки уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении (ст. ст. 3, 22 Закона о персональных данных).

В некоторых случаях операторы вправе осуществлять обработку персональных данных без уведомления территориальных управлений Роскомнадзора. Это относится к персональным данным: субъектов, которых связывают с оператором трудовые отношения, общедоступным персональным данным, включающим в себя только фамилии, имена и отчества субъектов персональных данных, необходимым в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, включенным в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка, и др. (ст. 22 Закона о персональных данных).

Законодательство Российской Федерации предусматривает гражданскую, уголовную, административную и дисциплинарную ответственность за нарушение Закона о персональных данных. Так, ст. 13.11 КоАП РФ установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), допускаемое физическими, должностными и юридическими лицами.

Санкцией статьи в настоящее время предусмотрено предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Возбуждение этой категории дел - прерогатива прокурора, в соответствии с ч. 1 ст. 28.4 КоАП РФ.

Федеральным законом от 07.02.2017 № 13-ФЗ, вступающим в силу с 1 июля 2017 года, в КоАП РФ вносятся существенные изменения в части ответственности за нарушение законодательства о персональных данных.

Закон предусматривает увеличение с 1 июля штрафов за нарушения в области обработки персональных данных для их операторов.

Вместо одного общего состава за нарушение порядка сбора, хранения, использования или распространения персональных данных с момента вступления в силу вышеуказанного закона будет действовать семь самостоятельных составов.

По сравнению с действующими положениями они предусматривают более строгие санкции.

Самый высокий штраф грозит нарушителю за обработку персональных данных без письменного согласия их субъекта, когда оно обязательно по Закону о персональных данных. Для организаций сумма максимального штрафа составит 75 тыс. руб.

На такую же сумму может быть оштрафован оператор-юрлицо, если при обработке персональных данных нарушит требования к составу сведений, которые включаются в письменное согласие.

Кроме того, Уголовный кодекс Российской Федерации предусматривает ответственность за нарушение неприкосновенности частной жизни (ст. 137), а также за неправомерный доступ к компьютерной информации (ст. 272).

По фактам нарушения законодательства о персональных данных, граждане вправе обратиться в органы прокуратуры, а также в уполномоченный орган по защите прав субъектов персональных данных, обеспечивающий контроль и надзор за соответствием обработки персональных данных, которым является Роскомнадзор в соответствии с ч. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16 марта 2009 года.

По материалам, предоставленным прокуратурой Сосновоборского района.

Все вопросы