Как привлечь к ответственности лиц, занимающихся сбором личных данных гражданина РФ?

Ответственность за нарушение закона о персональных данных

Как привлечь к ответственности лиц,  занимающихся сбором личных данных гражданина РФ?

Новости и аналитика Важная тема Все о персональных данных Ответственность за нарушение закона о персональных данных

Екатерина Добрикова

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. “Виды ответственности за нарушение закона о персональных данных”

Вид ответственностиНарушениеСанкцияНорма
АдминистративнаяНеправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информацииАдминистративный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.Статья 5.39 КоАП РФ
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 3 тыс. руб.;
  • на должностных лиц – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 30 тыс. до 50 тыс. руб.
Часть 1 ст. 13.11 КоАП РФ
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласиеАдминистративный штраф:
  • на граждан – от 3 тыс. до 5 тыс. руб.;
  • на должностных лиц – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 75 тыс. руб.
Часть 2 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данныхПредупреждение или административный штраф:
  • на граждан – от 700 до 1 тыс. руб.;
  • на должностных лиц – от 3 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
  • на юридических лиц – от 15 тыс. до 30 тыс. руб.
Часть 3 ст. 13.11 КоАП РФ
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данныхПредупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 6 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 15 тыс. руб.;
  • на юридических лиц – от 20 тыс. до 40 тыс. руб.
Часть 4 ст. 13.11 КоАП РФ
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)Предупреждение или административный штраф:
  • на граждан – от 1 тыс. до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.
Часть 5 ст. 13.11 КоАП РФ
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении нихАдминистративный штраф:
  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс. руб.
Часть 6 ст. 13.11 КоАП РФ
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методовПредупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.Часть 7 ст. 13.11 КоАП РФ
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном видеАдминистративный штраф:
  • на граждан – от 100 до 300 руб.;
  • на должностных лиц – от 300 до 500 руб.;
  • на юридических лиц – от 3 тыс. до 5 тыс. руб.
Статья 19.7 КоАП РФ
УголовнаяНезаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИШтраф до 200 тыс. руб., либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до одного года, либо принудительные работы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет или без такового), либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет (с лишением права занимать определенные должности на срок до трех лет)Статья 137 Уголовного кодекса
То же деяние, совершенное с использованием служебного положенияШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет, либо принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет)
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданийШтраф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет)
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам гражданШтраф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти летСтатья 140 УК РФ
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копированиеШтраф до 200 тыс. руб., либо исправительные работы на срок до одного года, либо ограничение свободы на срок до двух лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срокСтатья 272 УК РФ
Гражданско-правоваяПричинение лицу убытков в результате нарушения правил обработки его персональных данных.Под убытками при этом понимаются:
  • расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права;
  • утрата или повреждение его имущества;
  • неполученные доходы, которые лицо получило бы, не будь его право нарушено.
Возмещение убытковСтатья 15 Гражданского кодекса
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данныхКомпенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)Статья 24 закона о персональных данных, ст. 151 ГК РФ
ДисциплинарнаяРазглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностейУвольнениеПодпункт “в” п. 6 ч. 1 ст. 81 Трудового кодекса
Иные нарушения в области персональных данных при их обработкеЗамечание или выговорСтатья 90, ст. 192 ТК РФ

Источник: http://www.garant.ru/actual/persona/otvetstvennost/

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Как привлечь к ответственности лиц,  занимающихся сбором личных данных гражданина РФ?

→ Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов.

Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации.

Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.

2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст.

10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных.

Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст.

13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О.

, адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.).

Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением.

С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст.

13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Источник: https://www.garantexpress.ru/statji/personalnie-dannie-patsientov-v-meditsinskih-organizatsijah-trebovania-k-obrabotke-i-otvetstvennost/

Почили в базе: как устроена торговля личными данными россиян

Как привлечь к ответственности лиц,  занимающихся сбором личных данных гражданина РФ?

Россияне, ищущие работу, всё чаще сталкиваются с невозможностью занять должность, несмотря на наличие вакансии и необходимых профессиональных навыков. Отказ в приеме в компаниях обычно объясняют результатами проверки службы безопасности.

Об этом «Известиям» рассказали сразу несколько жителей Москвы, долгое время безуспешно пытающихся трудоустроиться. При этом за плечами каждого из них нет ни криминального прошлого, ни даже увольнений «по статье».

Причиной, как утверждают сами соискатели, стало их попадание в нелегальные черные списки, которыми пользуются работодатели при проверке новых сотрудников. Как работает индустрия по сбору персональных данных россиян, выясняли «Известия».

Безработные поневоле

26-летний москвич Артем Мешков пытается устроиться на работу уже не первый месяц, однако каждый раз получает отказ.

— Я несколько лет работал в крупных сетях по продаже техники. Везде был на хорошем счету и если увольнялся, то всегда по собственному желанию, — рассказал он «Известиям». — В прошлом году попал под сокращение, а затем сломал ногу и какое-то время восстанавливал здоровье за городом.

Когда вернулся в Москву, попытался устроиться на новую работу. Однако всё время сталкивался с одним и тем же: прохожу стажировку, моими навыками все довольны, а через пару дней приходит уведомление, что я не прошел проверку службы безопасности.

При этом я не могу даже предположить, почему оказался в черном списке.

Стоит отметить, что согласно 86-й статье УК право работать на любой должности в России имеют даже граждане, которые отбыли наказание в тюрьме (за исключением тех, на кого наложены предусмотренные законом ограничения).

— Я никогда не привлекался к уголовной ответственности. У меня есть погашенные административные штрафы и кредит, — признался Артем. — Получается, я должен сидеть без денег, если однажды перешел дорогу на красный свет или взял кредит?

Бывшие работодатели Артема не смогли предоставить ответ на запрос «Известий». Однако в фирме, которая предоставляет услуги по проверке потенциальных сотрудников, удалось выяснить, что его не рекомендуется трудоустраивать из-за «конфликта на одном из предыдущих мест работы». Стоит подобная услуга 3 тыс. рублей.

— В резкой манере требовал выплат за неиспользованный отпуск и регулярно опаздывал, — сообщили «Известиям» в компании.

По словам Артема, при увольнении по собственному желанию он действительно пытался получить компенсацию за отпуск, однако никакого конфликта не было.

— Разве в этом случае я преступил закон? Я просто пытался реализовать свои гражданские права, — считает он.

Выяснить, почему человек попал в черные списки работодателей, без связей среди сотрудников служб безопасности или возможности проверить себя по платным базам крайне сложно. Более того, иногда эти базы дают сбой и под удар попадают случайные люди. Так, москвич Антон Ильин заподозрил неладное, когда не смог устроиться менеджером по продажам несколько раз подряд.

— Я уверен, что у меня нет никакого криминального бэкграунда. Многие советовали подавать в суд, но я не могу позволить себе такие траты, — рассказал он «Известиям».

— Тогда я заказал проверку себя в компании, которая предоставляет такие услуги онлайн.

Выяснилось, что у меня есть полный тезка с непогашенными миллионными кредитами, уголовной статьей за употребление наркотиков, и по поиску вместо меня база выдает его.

Антону в итоге всё же удалось устроиться на работу, но он не сомневается, что, если захочет перейти на новое место, проблема может появиться вновь.

База на диске

В последние годы работодатели стали заниматься проверкой персонала, чтобы сократить издержки, которые могут возникнуть из-за некомпетентности сотрудника, воровства или промышленного шпионажа. Большинство компаний выбирало между двумя вариантами — созданием собственной службы безопасности или сотрудничеством с фирмами, предоставляющими подобные услуги на платной основе.

На условиях анонимности «Известиям» удалось пообщаться с бывшим сотрудником службы безопасности крупной сети магазинов.

— Несколько лет назад ко мне обратился знакомый по поводу создания такой службы в его компании. Тогда большинство работодателей даже не понимали, зачем им это нужно, — рассказал он. — СБ создавали по принципу «чем я хуже — у других есть, и мне надо».

Можно было найти на «Горбушке» нужного человека, который мог продать базу данных на диске. Сегодня с этим гораздо сложнее, приходится покупать доступ к платным базам в интернете. Но без них никуда — на нас лежит обязанность «пробивать» всех соискателей.

К слову, от подобных проверок граждан защищает закон «О персональных данных».

В соответствии с ним, если наниматель собирает информацию, не относящуюся к трудовой деятельности, деловым и профессиональным качествам сотрудника, последний вправе потребовать привлечения работодателя к ответственности (в том числе уголовной — до четырех лет лишения свободы за нарушение неприкосновенности частной жизни), а также возмещения морального и материального вреда.

Легальные нелегалы

Когда частные лица или охранные организации начинают «пробивать» какие-либо данные по своим каналам — это прямое нарушение закона и прав человека, считает глава агентства по выявлению лжи «Алибинет.ру» Александр Румянцев.

— Если организация имеет службу безопасности или просит кого-то «пробить» сотрудника по кредитной истории, на предмет судимостей и так далее — это закрытая информация, — пояснил он «Известиям». — Но всё покупается и продается. Да, надо признать, это коррумпированная сфера. Поэтому найти причину попадания в базу очень сложно.

По данным агентства, сегодня на черном рынке распечатка мобильных переговоров стоит от 40 тыс. до 60 тыс. рублей, паспортные данные и кредитные истории — от 10 тыс. рублей.

В одной из компаний, предоставляющих «комплексную проверку персонала и соискателей», «Известиям» пояснили, что «пробить» сотрудника по минимальному тарифу можно за 1,5 тыс. рублей, по стандартному — от 7 тыс.

К слову, в стандартный тариф включены пункты «Проверка и установка контактных данных», «Проверка в открытых реестрах на негатив» и «Изучение информации о проверяемом в СМИ и сети интернет». Обтекаемые формулировки позволяют избежать ответственности за нарушение закона «О персональных данных», а услуги пользуются популярностью, о чем можно увидеть в письмах благодарности.

— Компания не занимается обработкой персональных данных, — пояснили «Известиям» в компании, которая предоставляет услуги на основе популярной у сотрудников служб безопасности базы данных.

— В том случае, если в отдельных блоках присутствует информация, которая может быть интерпретирована как персональные данные, ответственность за ее распространение несет первоисточник, например Федеральная налоговая служба или Арбитражный суд.

Суд и дело

Отказ принять на работу человека, не прошедшего службу безопасности, является нарушением закона, объяснили «Известиям» в пресс-службе Министерства труда России.

— Согласно ст. 64 Трудового кодекса Российской Федерации необоснованный отказ в заключении трудового договора запрещается. Только деловые качества работника должны учитываться как при заключении трудового договора, так и при оплате труда, — сообщили в пресс-службе.

Однако пока существует спрос на услуги по проверке будущего сотрудника, есть и предложение.

— В этом сегменте крутятся и перевариваются огромные деньги. Например, легальное тестирование на полиграфе стоит 8 тыс. Но многие работодатели предпочитают переплатить и залезть в частную жизнь, чтобы узнать о работнике всё, вплоть до интимных подробностей, чтобы его контролировать, — подчеркнул Александр Румянцев.

При этом адвокаты, занимающиеся трудовым правом, утверждают, что у героев статьи «Известий» есть все шансы добиться компенсации в суде.

— Отказ в приеме на работу на основании вывода службы безопасности влечет наложение административного штрафа. На должностных лиц — от 10 тыс. до 20 тыс. рублей, на юридических лиц — от 15 тыс. до 75 тыс. рублей. Нужно обращаться в трудовую инспекцию, прокуратуру и далее в суд, — сказал Зиннур Зиннятуллин, член московской коллегии адвокатов «Князев и партнеры».

На деле же дойти до суда в таких случаях непросто. Во-первых, доказательная база является слабой: отказы службы безопасности сообщаются в устной форме или через СМС. Во-вторых, судебные издержки требуют денег, а у тех, кто отчаянно пытается устроиться на работу, их зачастую просто нет.

По данным Министерства труда, численность официально зарегистрированных безработных в России составляет 1,1 млн человек.

Источник: https://iz.ru/827214/mariia-bukharova/pochili-v-baze-kak-ustroena-torgovlia-lichnymi-dannymi-rossiian

«Утечки неизбежны»: кто ответственен за персональные данные

Как привлечь к ответственности лиц,  занимающихся сбором личных данных гражданина РФ?

В последние годы проблема защиты персональных данных (ПД) приобрела особенную остроту.

Социальными сетями и медиаплатформами пользуется огромное количество пользователей по всему миру, предоставляя свою личную информацию в обмен на возможность присоединиться и воспользоваться определенными услугами.

При этом в руках крупных IT-компаний оказываются огромные массивы данных, расшифровав которые можно узнать любые подробности жизни человека.

Когда мы отдаем свои персональные данные, порядочные компании обещают их защищать — к этому их обязывает законодательство. По словам технического директора ООО «ТСС», специализирующегося на информационной безопасности, Ильи Шарапова, защитить персональные данные — не такая уж невыполнимая задача.

Это может быть достигнуто с помощью шифровальных (криптографических) средств, средств предотвращения несанкционированного доступа, утечки информации по техническим каналам (DLP-системы), а также с помощью других технических и организационных мер.

По словам Шарапова, в современном обществе проблема утечек встала остро в связи с несколькими факторами.

«Во-первых, это вызвано халатностью или злым умыслом сотрудников, их некомпетентностью, выполнением требований закона «для галочки», а не по факту (мы сами становились свидетелями того, как в некоторых российских ведомствах и министерствах устанавливались средства НСД, но они не использовались сотрудниками). Наконец, проблема коррупции: сами сотрудники часто торгуют базами данных», — пояснил собеседник «Газеты.Ru».

В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.

В российском законодательстве довольно четко прописана ответственность за нарушение закона о персональных данных. Она включает как административные, гражданско-правовые и дисциплинарные, так и уголовные меры.

Как отмечает специалист по информационной безопасности и генеральный директор «Лаборатории Цифровой Форензики» Александр Мамаев, на бумаге все довольно четко прописано и зафиксировано. Однако даже законодатели зачастую плохо владеют предметом.

«Не так давно председатель Госдумы Вячеслав Володин, например, предложил создать рабочую группу по защите персональных данных. Он заявил: «Это не сворованные хакерами данные, это системы реестра Минфина, Минюста, Минтруда, электронные торговые площадки.

Это говорит об отсутствии защиты этих данных, и, в принципе, большая часть информации — она находится в открытом доступе, ее надо найти, систематизировать и использовать».

Но, как уже было сказано выше, законы есть, и они четко классифицируют требования и правила использования персданных.

Однако, персональные данные россиян действительно часто утекают в открытые источники, или же становятся предметом купли-продажи. Согласно исследованию компании Dentsu Aegis Network, лишь 29% россиян считают, что их персональные данные защищены в достаточной степени.

В ноябре 2018 года «Лаборатория Касперского» объявила, что «цифровая личность» человека в даркнете продается за $50. Здесь имеются в виду реквизиты банковских карт и счетов, аккаунты в социальных сетях, удаленный доступ к серверам и персональным компьютерам, а также сведения из приложений для знакомств и полный список посещаемых порносайтов.

Согласно данным компании Comparitech, скан паспорта россиянина в даркнете продается за $10-11. Этого порой оказывается достаточно, чтобы оформить счет или кредит на имя жертвы в банке.

По словам Александра Мамаева, рассчитывать на то, что жертвам утечек удастся отсудить существенные компенсации у частных компаний или госорганов, не приходится.

«Один подобный процесс, увенчавшийся успехом, может привести к цепной реакции, когда каждый пользователь, сталкивавшийся с утечкой данных, обратится в суд за компенсацией.

Учитывая низкий уровень защиты персданных в России, это может обернуться разорением банков, IT-ритейлеров, сервисов по покупке билетов и т.д.

Следом иски можно вчинить и госорганам, которые, несмотря на требования закона, весьма халатно относятся к защите персональных данных россиян. Подобные иски могут очень больно ударить по бюджету страны», — заключил собеседник «Газеты.Ru».

Действующий закон «О персональных данных» позволяет физическим лицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке персональных данных.

Основная проблема на пути самостоятельной защиты гражданами своих прав – трудность доказывания размера убытков, а также неготовность судов к присуждению существенных сумм компенсации морального вреда, рассказывает партнер юридической компании 2b law office Антон Городецкий.

«Именно поэтому в России число судебных дел в данной категории исчисляется десятками, что, очевидно, несопоставимо с количеством нарушений в данной сфере», — пояснил Городецкий.

По мнению Антона Городецкого, первая проблема – относительно небольшой размер штрафов. Штрафы для юридических лиц за нарушение порядка обработки персональных данных находятся в диапазоне от 15 000 до 75 000 рублей.

Это сумма может быть существенной для небольших компаний, но для крупных игроков рынка персональных данных, зарабатывающих огромные деньги на торговле персональными данными, такие штрафы не могут играть сдерживающей функции.

«Сравните, например, размер наших штрафов, со штрафами, предусмотренными Общим регламентом о защите персональных данных (GDPR), где верхняя граница штрафа составляет 20 миллионов евро, или 4% от мирового оборота компании-нарушителя», — заявил эксперт.

Другая проблема, препятствующая эффективной защите прав субъектов персональных данных (самостоятельной и силами органов государственной власти) – отсутствие физического представительства и какого-либо имущества компаний нарушителей на территории России, что делает невозможным фактическое исполнение принятых судебных актов. В таких случаях у остаётся единственный инструмент – блокировка сайтов компаний-нарушителей, что также не всегда способно достичь цели защиты персональных данных.

Есть несколько прецедентов, когда в России штрафовали крупные иностранные компании. Так, и были оштрафованы на 3 тыс. руб.

каждая за непредоставление информации о переносе персональных данных российских пользователей в Россию.

Обязанность хранить данные граждан РФ на российских серверах появилась у интернет-компаний после вступления в силу закона «О персональных данных» в сентябре 2015 года.

При этом официально у , и некоторых других компаний Кремниевой долины нет российских юридических лиц и постоянного представительства в России, то есть у них формально нет обязанности отвечать на запросы Роскомнадзора и подчиняться российским законам.

В апреле 2019 года АНО «Цифровая экономика», занимающаяся реализацией одноименной программы, выступила с предложением запретить таким компаниям иметь доступ к персональным данным россиян.

Одной из причин называются нечестные условия конкуренции зарубежных и российских IT-компаний, так как к последним предъявляются более жесткие требования.

Как следует из документа,

«необходимо избежать ситуации, когда иностранные компании, которые не соблюдают требования законодательства Российской Федерации, устанавливающего ограничения доступа к данным, будут иметь более привилегированное положение по отношению к российским компаниям, которые данные требования соблюдают».

Эта проблема касается и «Яндекса», которым владеет компания, зарегистрированная в Нидерландах.

В том числе поэтому в конце июля в Госдуму был также внесен проект об ограничении в 20% на иностранное владение информационными ресурсами, которые будут признаны «значимыми» для России.

Этот критерий предлагается оценивать по количеству активных российских пользователей сервиса. Автор законопроекта депутат от «Единой России» Антон Горелкин утверждает, что если ресурс является «значимым», то его основной владелец должен быть зарегистрирован в России.

Впрочем, у «Яндекса» есть зарегистрированное юридическое лицо в России, он обязан соблюдать российское законодательство и подчиняться требованиям Роскомнадзора.

За рубеж руки не дотянутся

В Европейском союзе на страже персональных данных пользователей стоит Общий регламент по защите данных (GDPR), принятый в мае 2018 года. Как объяснил руководитель юридического отдела хостинг-провайдера REG.

RU Павел Патрикеев, одна из ключевых особенностей GDPR заключается в том, что действие данных правил применяется к компаниям, обрабатывающим персональные данные резидентов и граждан ЕС и явно нацеленных на такую обработку, независимо от местонахождения такой компании.

Практика привлечения европейских компаний к ответственности за нарушение постепенно формируется: ещё в 2018 году в связи с утечкой данных и нарушением условия о необходимости хранения данных пользователей в зашифрованном виде на 20 тысяч евро была оштрафована немецкая компания Knuddels GmbH & Co KG (компания-владелец немецкого онлайн-чата и сервиса для знакомств Knuddels). За похожее нарушение, связанное с предоставлением недостаточной степени защиты пользовательских данных на случай утечки, на 183 млн фунтов стерлингов была оштрафована и авиакомпания British Airways.

Одним из наиболее крупных примеров привлечения к ответственности не эндемика, иностранной компании по GDPR в настоящий момент является штраф американской компании Google регулятором Франции (CNIL) в размере 50 млн евро за предоставление неполной и непрозрачной информации владельцам ОС Android, а также за ряд иных смежных нарушений в области обработки персональных данных (однако это не единственный случай привлечения к ответственности по GDPR американской компании — так, штрафы по данному Регламенту уже получили Uber и ).

«Как уже было показано выше, факт наличия или отсутствия офиса компании (ее представительства) на территории ЕС не является принципиальным: в GDPR заложен принцип экстерриториальности, а значит предписания могут быть направлены и иностранным организациям, присутствующим в Европе лишь виртуально, но при этом дежурно обрабатывающих данные европейских граждан — примером такого кейса служит предписание британского регулятора по GDPR канадской компании AggregateIQ Data Services», — рассказывает Патрикеев.

Однако, в случае если ни организация-оператор ПД, ни субъект ПД не являются резидентом ЕС, либо не находятся на территории Союза — в таком случае компания не может быть привлечена за нарушение. И уж тем более гражданин не может с ней судиться лично.

В свою очередь, 152-ФЗ имеет ряд существенных отличий от GDPR, одно из которых — требования о локализации баз данных с данными россиян на территории России.

В широком смысле, 152-ФЗ экстерриториального действия не имеет и не распространяется на нерезидентов (лиц, не имеющих официальное присутствие в России), собирающих персональные данные Россиян за границей. Однако, в контексте необходимости локализации данных на территории РФ, значение имеет наличие у иностранной организации целенаправленной деятельности по сбору данных.

Получается, что GDPR является более продвинутой версией 152-ФЗ, позволяя привлекать к ответственности за утечку персональных данных даже те компании, которые не являются резидентами ЕС, но имеют доступ к информации граждан Европейского союза.

«Таким образом, в настоящий момент GDPR представляет собой более совершенный инструмент по привлечению иностранных компаний к ответственности за нарушение национальных требований к обработке персональных данных, так как в нем изначально отсутствует ограничение сферы действия только по национальному принципу (месту инкорпорации компании).

Хотя по ряду оснований по 152-ФЗ иностранная компания также может быть привлечена к ответственности за нарушение правил (например, при неисполнении требований о локализации данных), тем не менее 152-ФЗ не предоставляет такого гибкого инструментария субъектам ПД по привлечению иностранных компаний, обрабатывающих их данные за рубежом, к ответственности на территории Российской Федерации», — заключил собеседник «Газеты.Ru».

Что же касается ситуации в США, то защита персональных данных пользователей регулируется отдельными отраслями. Специального федерального закона о ПД на территории страны не существует — его заменяют локальные нормативные акты, зачастую действующие на территории отдельных штатов, и узкоспециальные законы.

Часть работы по защите ПД берет на себя Федеральная торговая комиссия (FTC) США, которая следит за соблюдением ряда законов и соглашений. Так, например, именно FTC оштрафовала социальную сеть на $5 млрд за скандал с Cambridge Analytica, который привел к утечке личной информации 87 млн пользователей, не дававших согласия на ее использование.

Отсутствие универсального закона по защите ПД в США является существенной проблемой для страны, на чьей территории расположена Кремниевая долина, являющаяся средоточием крупнейших IT-компаний. За принятие в Америке аналога GDPR выступают как законодатели, так и сами резиденты Долины — например, Microsoft и Apple.

В 2018 году Калифорния приняла закон о приватности данных потребителей (California Consumer Privacy Act, или CCPA), который повторяет некоторые принципы GDPR. Этот закон должен вступить в силу уже в 2020 году. Некоторые представители IT-индустрии поддержали инициативу, назвав ее важным шагом на пути к единому федеральному закону по защите персональных данных.

Источник: https://www.gazeta.ru/tech/2019/08/09_a_12567469.shtml

Юрист ответит
Добавить комментарий