Рейтинг: 4.6/5.0 (1921 проголосовавших)Категория: Бланки/Образцы
В 2005 году Российская Федерация ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г.). С ратификацией этого международного документа наша страна и мы, её граждане вступили в новую социально-экономическую формацию, в которой полномочия государства и права человека вторичны относительно прав «операторов». Во исполнение Конвенции в 2006 году в России поспешно принят ФЗ-№152 «О персональных данных» (далее ФЗ-№152), который во всех базовых положениях повторяет Конвенцию. ФЗ-№152 действует с 2006 года, однако до последнего времени при походе в библиотеку или к стоматологу человеку не приходилось давать полный отчёт о своей жизни: себе, семье, работе, собственности.
Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг». Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и ФЗ-№152. Именно на основании ФЗ-№152 в последнее время гражданам предлагают подписывать различные бланки « о согласии на обработку их персональных данных» по месту работы, учёбы, в детском саду, который посещает ребёнок. Собирают наши «добровольные» согласия школы, поликлиники, библиотеки, все социальные учреждения. Подсуетились и магазины, которые при предоставлении скидки раздают анкеты, где мелким шрифтом включена фраза о согласии на обработку персональных данных.
Прежде чем дать такое согласие, человеку необходимо знать, что стоитза понятиями, употребляемыми в бланках
1. В соответствии с ФЗ-№152 персональные данные – этолюбая информация, относящаяся прямо или косвенно к физическому лицу.
2.Понятие «обработка персональных данных» имеет далеко не такое невинное значение как большинству из нас кажется. В соответствии с п. 3 статьи 3 ФЗ-№152, «обработка» включает в себя – любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.Очень важно понятие «оператор». Нужно помнить, что оператор независимо от желания человека самостоятельно решает какие персональные данные он собирает и какие действия с этими данными человека совершает.
В соответствии с ФЗ-№152 оператор это – государственный орган, муниципальный орган, юридическое или физическое лицо. самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных,состав персональных данных. подлежащих обработке,действия (операции), совершаемые с персональными данными .
4. Что прячется за понятием «использование персональных данных»?
Поскольку операторам предоставлено право любых действий с нашими персональными данными, то и принятие юридически значимых решений охватывается этим правом.
Давая согласие на обработку своих персональных данных, человек соглашается на совершение операторами любых действий и манипуляций с любой своей, в том числе и конфиденциальной информацией.
5. В соответствии с ФЗ-№152 «распространение»– это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Поскольку персональные данные – это любая информация о человеке, то распространение – это фактически не контролируемое человеком ознакомление с его самой конфиденциальной информацией любых физических и юридических лиц по усмотрению оператора.
Если оператор сочтёт необходимым, то в процессе обработки-распространения может осуществляться и трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
6. ФЗ-№152 даёт практически безграничные возможности для любых манипуляций с нашими персональными данными любому оператору, получившему согласие человека «на обработку персональных данных».
Формальная фраза бланков о праве человека отозвать согласие на обработку персональных данных ничего не решает. К моменту отзыва персональные данные человека уже разосланы в различные базы, где они остаются и используются. Кроме того, отзыв согласия чреват репрессивными мерами оператора. Некоторые операторы предупреждают о них сразу, а другие будут применять на практике без предупреждения. В статью 9 ФЗ-№152 внесены изменения, дающие оператору право продолжать обработку персональных данных и после отзыва согласия на обработку. А изменения в статье 6 этого закона допускают обработку персональных данных без согласия человека при оказании государственных и муниципальных услуг, включая регистрацию на едином портале государственных услуг. Если следовать логике этих положений, никакие электронные услуги не будут оказываться при отказе человека на обработку его персональных данных.
Итак, в информационном обществе на первый план выходит новое лицо – оператор, диктующий свои условия гражданам и государству.
7. Тысячи граждан по религиозным убеждениям не могут принять автоматизированный способ учета персональных данных, который основывается на использовании личных идентификаторов (СНИЛС, ИНН и других), штрихового кодирования информации, создании баз персональных данных, доступ в которые осуществляется на основании цифровых идентификаторов личности. Использование личных цифровых идентификаторов в любых правоотношениях нарушает право действовать под своим именем, гарантированное статьей 19 Гражданского кодекса РФ. Для верующего человека замена имени цифровым идентификатором неприемлема, поскольку происходит фактическая замена имени, данного при Крещении, цифровым номером, который является пожизненным и становится обязательным условием доступа к любым правам и услугам.
Однако отказ от использования автоматизированного способа учета персональных данных не лишает граждан прав, гарантированных Конституцией РФ. Первые примеры санкций за отказ предоставить всю информацию о себе в полное распоряжение оператора уже имеются. Так называемые операторы в ответ на отказ дать согласие на обработку персональных данных прекращают гражданам выплату дотаций, не оказывают медицинскую помощь и др. Учащиеся сообщают об угрозах не допустить к экзаменам или не выдать аттестат. Это является грубейшим нарушением прав граждан.
В Конституции РФ права граждан на социальное обеспечение, медицинскую помощь, образование и другие не обусловлены обязательным согласием на обработку персональных данных. Конституция имеет прямое действие и высшую юридическую силу. Граждане имеют право требовать реализации всех своих прав и в случае отказа на обработку персональных данных.
8. 4 февраля 2013 года Архиерейским Собором Русской Православной Церкви принят Документ «Позиция Церкви в связи с развитием технологий учета и обработки персональных данных».
В Документе говорится, что тысячи граждан на основе своих конституционных прав и по религиозной мотивации отказываются от использования новой идентификационной системы.
Церковь считает особенно важным принцип добровольности принятия любых идентификаторов и указывает, что необходимо проявлять уважение к конституционным правам граждан и не дискриминировать тех, кто отказывается от принятия электронных средств идентификации.
Церковь считает недопустимым ограничение прав граждан в случае отказа дать согласие на обработку персональных данных.
В п. 5 говорится: «В связи с тем, что обладание персональной информацией создает возможность контроля и управления человеком через различные сферы жизни (финансы, медицинская помощь, семья, социальное обеспечение, собственность и другое), возникает реальная опасность не только вмешательства в повседневную жизнь человека, но и внесения соблазна в его душу. Церковь разделяет опасения граждан и считает недопустимым ограничение их прав в случае отказа человека дать согласие на обработку персональных данных».
Подробнее– в книге О.А. Яковлевой «Новые технологии и права человека» (тел. издательства 8-800-200-84-85, Интернет-магазинwww.zyorna.ru).
В Москве можно заказать книгу в магазинах:
Магазин «Русский дом»
Адрес: Москва, Малый Кисельный переулок, дом 4, стр.1
Тел.:8-495- 621- 43-53, 621-35-02
Вопрос. Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных ?
Вопрос. Обязана ли организация принять от своих контрагентов, являющихся физическими лицами, письменное согласие на обработку персональных данных ?
Ответ юриста:Обработка персональных данных контрагентов - физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров ( купли-продажи, подряда, оказания услуг и пр.).
Правовое обоснование:В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).
Оператором персональных данных, как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними.
При этом лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений, а в силу самого факта осуществления им деятельности по обработке персональных данных.
Случаи, при которых допускается обработка персональных данных без согласия субъекта таких данных, исчерпывающим образом установлены ст. 6 Закона N 152-ФЗ.
Так, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). По смыслу этой нормы лицо, которому предоставляется возможность обработки персональных данных, является стороной по указанному договору.
В силу ч. 1 ст. 22 Закона N 152-ФЗ до начала обработки персональных данных операторы обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных (далее - уполномоченный орган) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона N 152-ФЗ.
Так, уведомлять уполномоченный орган не нужно, если персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, при том, что персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (п. 2 ч. 2 ст. 22 Закона N 152-ФЗ).
Таким образом, обработка персональных данных контрагентов - физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687).
Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.
Несмотря на то, что в рассматриваемом случае оператор подпадает под исключение и не обязан получать согласие субъекта персональных данных на обработку и уведомлять Роскомнадзор о работе с персональными данными, это не освобождает его от необходимости применения мер по защите персональных данных. Лица, виновные в нарушении требований Закона N 152-ФЗ, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (ст. 24 Закона N 152-ФЗ).
Правовая информация приведена по состоянию на дату консультации - 02.12.2013
Физические лица (в том числе ИП), заключая договор на поставку и оказание услуг с различными организациями, предоставляют свои персональные данные. Необходимо ли организации брать письменное согласие на обработку персональных данных с физических лиц.
Если у организации с физическим лицом, заключен договор, то обработка персональных данных может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).
Согласно ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу.
Оператором персональных данных. как следует из п. 2 ст. 3 Закона N 152-ФЗ, является лицо, в том числе юридическое, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Согласно ст. 6 Закона № 152-ФЗ обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
Например, допускается обработка персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Итак, обработка персональных данных физических лиц (в том числе ИП) может осуществляться без согласия субъекта на обработку персональных данных в следующем случае:
Адвокаты и юристы компании «ПАРТНЕР» помогут Вам в кратчайшие сроки и с минимальными затратами разрешении возникшего вопроса. Для более подробной консультации Вы можете обратиться по телефонам: 60-92-91 или задать вопрос в разделе на сайте «Вопрос – ответ».
Компании, осуществляя свою хозяйственную деятельность, с одной стороны, периодически вынуждены разглашать личные сведения персонала организации. С другой стороны, ФЗ О персональных данных обязывает работодателей производить защиту этой информации. В сложившейся ситуации единственный законный выход для их администрации каждый раз брать у работника согласие на обработку данных. К личной информации сотрудников относится Ф.И.О. данные их паспортов, место жительства, возраст, образование, семейное положение и т. д.
Для чего необходимо согласие на обработку данных
Законодательство требует от каждого работодателя, чтобы он разработал на своем предприятии локальный нормативный акт, в котором было бы предусмотрено, что относится к персональным данным, в каких случаях допускается их разглашение и какие меры он осуществляет для обеспечения конфиденциальности.
С этим документом должен быть ознакомлен каждый поступающий на работу человек.
Помимо этого, предприятие должно встать на учет в качестве оператора по обработке этих сведений в Роскомнадзоре. Защита персональных данных включает не только ограниченный доступ к личным делам сотрудников с фиксацией каждого запроса, но и разграничение прав пользование базами данных на компьютере. В компании обязательно должен быть ответственный за осуществление этих мероприятий.
При поступлении на работу . еще до заключения трудового договора . сотруднику целесообразней заполнить бланк согласия на обработку персональных данных. Это позволяет администрации фирмы собирать, обрабатывать и хранить их. Данная форма разрабатывается предприятием самостоятельно и включается в качестве приложения к соответствующему Положению.
Чаще всего разглашать сведения предприятию приходится при оформлении карт-счетов для работника, доверенностей на право получения ТМЦ и представления интересов, заключении договоров, выписке актов, счет-фактур, накладных, при издании приказов о назначении ответственных лиц и составлении исходящих писем т. д.
В соответствии с нормами закона этот бланк заполняется каждый раз, когда происходит сообщение сведений третьим лицам. Письменное разрешение работника действует ограниченный период, и даже в этом случае данный человек имеет право отозвать свое заявление.
Во избежания неприятностей рекомендуется брать это согласие даже у директора и учредителя. В последнее время данная практика стала широко использоваться при заключении договоров с крупными компаниями. В качестве приложения к ним очень часто стал встречаться этот документ.
В некоторых случаях организация может сообщать данные сведения третьим лицам без получения разрешения рабочего. Например, по запросу государственных органов.
За неправомерное разглашение информации, составляющей персональные данные работника, к фирме и ее ответственных лиц могут применяться меры наказания в виде лишения свободы, возмещение понесенного работником ущерба, в том числе морального, а также наложение штрафных сумм. Надзор за соблюдение законодательства в этой сфере осуществляет Роскомнадзор, который может проводить время от времени проверки.
Образец заполнения согласия на обработку персональных данныхСверху в правой части документа указывается Ф.И.О. человека, на чье имя составляется разрешение, его должность, название компании.
После этого посередине листа пишется заголовок документа: «Согласие на обработку моих персональных данных».
Затем в заявлении нужно указать личные данные сотрудника, его домашний адрес, полные данные паспорта или другого имеющегося документа, подтверждающего личность — серию, номер, дату и место выдачи. Обязательно необходимо сделать ссылку на федеральный закон или другие нормативные акты. После чего вписывается название компании, в которую подается данное разрешение, ее полный адрес местонахождения.
Затем нужно указать для каких целей будет производиться разглашение информации, и перечислить все те персональные сведения, для использования которых предоставляется согласие — это могут быть личные данные, сведения о зарплате, стаже, поощрениях и взысканиях и т.д. Также нужно указать перечень действий, какими методами будет производиться обработка. Если данные планируется предоставлять в несколько мест, то на каждое учреждение лучше всего составить отдельное согласие.
Ниже проставляется временной период, в течение которого действителен данный документ. Затем в текст включается информация о том, каким именно способом можно произвести отзыв разрешения. Не будет лишним добавить сведения о том, что работнику было разъяснено о его правах в сфере защиты персональных данных.
После этого сотрудник указывает свою должность, проставляет личную подпись, расшифровывает ее, и дату заполнения.
В итоге с Еленой Валерьевной обратились в суд. Вернули около 200.000 рублей. Поэтому работать очень нравится. Я сама рекомендую ее другим председателям
Палова Татьяна Федоровна Председатель ТСЖ №239 и ТСЖ №237 г.Нижний Новгород, ул.Гаугеля, д.30
«С Еленой Валерьевной работаем уже полтора года. Человек очень компетентный коммуникабельный, в любой момент выслушает, никогда не оттолкнет, в наши проблемы уходит с головой, проявляет максимум терпения и понимания. Дает всегда дельные и мудрые советы. Человек, с которым очень приятно общаться и иметь дело. »
Пронина Ольга Юрьевна Председатель правления ТСЖ №53 г.Нижний Новгород, ул.Куйбышева, 49
«Могу дать только самые лестные отзывы о грамотности и работе Елены Фомичевой и ее компании. В плане юридической составляющей, могу сказать, что она полностью в теме тех отношений, которые мы сейчас решаем: консультации, перерасчет коммунальных платежей от РСО. Она работает с учетом всех постоянных изменений в законах.»
Смаль Анатолий Энверович Председатель ТСЖ №23, г.Нижний Новгород, ул.В.Революции, 23
«Мы работаем с этой компанией уже около двух с половиной лет. Вместе с ними забрали свой дом у домоуправляющей компании. У нас абонентское обслуживание, поэтому сразу решаем много текущих вопросов. Выиграли несколько судов суд, когда один житель попытался оспорить легитимность создания нашего ТСЖ. »
Снегирева М.С. Председатель ТСЖ «Малая Ямская 65/4» г.Нижний Новгород, ул. Малая Ямская 65/4
Здравствуйте! Подскажите, пожалуйста, наша организация осуществляет поставку разных видов алкогольной и безалкогольной продукции. При заключении договора поставки Покупатель предоставляет доверенность на получение продукции его ответственными лицами. В данной доверенности указываются паспортные данные поверенного. Должны ли мы, как Поставщики, брать у поверенных согласие на обработку их персональных данных? И на какой закон нам нужно ссылаться?
С уважением, Евгения.
26 Февраля 2014, 09:19 Евгения, г. Пермь
Ответы юристов (2)
г. Великий Новгород
Договор на поставку продукции заключается между двумя юр.лицами, в данном случае согласие на обработку персональных данных брать не надо. Ответственные лица за получение товара уже дали согласие на обработку своих персональных данных своему руководителю, тем самым согласились с пунктом о передаче их персональных данных третьим лицам.
Рекомендую посмотреть Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
26 Февраля 2014, 10:07
Город не указан
Вопрос дискуссионный на самом деле. Закон о персональных данных несовершенен.
С одной стороны Вы (Ваша организация) вообще не оператор персональных данных.
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных,а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Вы не определяете цели, состав и т.д. Вы лишь получаете их и храните.
А стало быть необходимости получать согласия нет. Согласие должно быть у лица, выдавшего доверенность, поскольку доверенное лицо действует от его имени и получается что именно лицо, выдавшее доверенность, осуществляет передачу Вам персональных данных (хотя тут тоже возможны варианты), и именно на это у него должно быть согласие субъекта.
С другой стороны обработку Вы всё-таки осуществляете. А обработка должна проходить по определённым условиям.
Но. Поскольку, как было указано выше Вы не совсем оператор, а получаете Вы данные уже непосредственно от оператора (лица выдавшее доверенность), то это можно рассматривать с точки зрения ч. 4 ст. 6 закона о персональных данных:
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
Но это лишь одна из возможных ситуаций и одна из точек зрения.
26 Февраля 2014, 10:11
Ищете ответ?Задайте вопрос нашим юристам — это намного быстрее, чем искать решение.
Граждане обвиняют операторов …
В «Союз православных юристов» постоянно идут письма и звонки с вопросом: «Как отказаться от согласия на обработку персональных данных, но не утратить свои законные права?». Ответить на все обращения физически невозможно, поэтому мы подготовили аналитический обзор законодательства и практики его применения. Нашей целью является побуждение простых граждан, не имеющих юридического образования, к активным правовым действиям в защиту своих законных прав.
Создаваемое в России и других странах информационное общество бесчеловечно, в нем не работают национальные законы и даже общечеловеческие нормы и принципы. В этом обществе человек превращается в бесправный придаток информационных электронных систем.
Формирование баз персональных данных на все население страны является необходимым условием информационного общества, в котором все взаимоотношения граждан и государства осуществляются в обязательной электронной форме. С этой целью все организации, в которые обращаются граждане (школы, поликлиники, ВУЗы, организации ЖКХ и др.), в обязательном порядке предлагают подписывать бланки согласия на обработку персональных данных. Во многих случаях при отказе подписать такой бланк человек в нарушение действующего законодательства лишается своих прав. Характеристики нового мирового порядка хорошо видны уже сегодня. Сотни тысяч православных граждан, отказывающихся по религиозным убеждениям от автоматизированного учета персональных данных, электронных документов, незаконно лишены своих прав. Пожилым, заслуженным гражданам не выплачивают заработанные пенсии, пособия, лишают медицинской помощи, молодежь не может поступить учиться, устроиться на работу. Нарушения основополагающих прав верующих граждан носят дискриминационный характер.
9 февраля 2014 г. на сайте Московской Патриархии, (http://www.patriarchia.ru/db/text/3561086.html ) и на сайте «Союза православных юристов» (http://rodinaprav.info/index.php/inn-uek-snils/153-svyatejshij-patriarkh-obratilsya-k-prezidentu-rf-v-zashchitu-pravoslavnykh-grazhdan ) опубликована информация о направлении Святейшим Патриархом Московским и всея Руси Кириллом обращения к Президенту Российской Федерации В.В. Путину с просьбой принять законодательные меры, обеспечивающие право человека использовать традиционные удостоверения личности и способы учета на бумажных носителях, а также обеспечить правовые гарантии существования, технического оснащения и финансирования традиционной системы учета.
Администрация Президента Российской Федерации направила ответ на обращение Патриарха. В ответеговорится: «. Разделяя Вашу озабоченность по вопросу нежелания некоторой части российских граждан получать другой вид паспорта - документ нового поколения, содержащий электронные носители информации, полагаю возможным отметить, что любые формы принуждения людей к использованию электронных идентификаторов личности, автоматизированных средств сбора, обработки и учета персональных данных, личной конфиденциальной информации недопустимы. ».
Это обращение Патриарха к Президенту РФ является результатом нашей общей активности. Именно письма общественных организаций и простых граждан, направленные Святейшему Патриарху, дают основания Церкви встать на защиту своих чад.
Однако и мы, граждане обязаны защищать свои права, влиять на принимаемые в России законы, реагировать на нарушения законодательства. Нельзя смиряться с нарушениями своих прав, необходимо законными методами бороться за сохранение традиционной системы учета персональных данных человека, за соблюдение Конституции России.
Правовые методы есть, действует Конституция РФ и даже антиконституционные законы пока содержат нормы, гарантирующие права граждан. Используя эти материалы, вы сможете грамотно защитить свои законные права и интересы. Не нужно бояться, не нужно лениться изучать законодательство и применять его в конкретной ситуации. Нарушение прав граждан при отказе дать согласие на обработку персональных данных носит массовый характер, такими же массовыми должны быть и наши правовые действия. Только общими усилиями при поддержке Русской Православной Церкви мы сможем защитить конституционное право жить в обществе в соответствии со своими религиозными убеждениями, сохранить суверенитет нашего государства.
Молчание, непротивление нарушениям закона, Конституции РФ сегодня - это соучастие в построении античеловеческого, антиконституционного и антихристианского общества.
Операторы как «броню» используют ФЗ-N152 «О персональных данных», прикрывая в большинстве случаев незаконный сбор информации о гражданах и незаконно лишая прав людей, отказавшихся от дачи согласия на обработку персональных данных.
Нам, гражданам необходимо научиться пользоваться правовыми возможностями для защиты своих прав, опираясь на тот же ФЗ-N152 и другие законы.
ФЗ-N152 «О персональных данных» действует с 2006 года, однако до 2010 года человеку не приходилось давать полный отчёт о себе, семье, работе, собственности при обращении в любую организацию: поликлинику, школу, ВУЗ, банки и др.
Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-N210 «Об организации предоставления государственных и муниципальных услуг». Этот антиконституционный закон легализовал коренной переворот в законодательстве. Наши конституционные права в основных сферах жизни были незаконно трансформированы в неконституционное понятие «услуги», которые к тому же предоставляются только в электронной форме и на платной основе. Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года) и ФЗ-N152 «О персональных данных». С переходом на электронный способ взаимодействия в соответствии с ФЗ-N152 все организации, имеющие хоть какую-то информацию о человеке, стали операторами. библиотеки, ВУЗы, поликлиники, детские сады, работодатели, другие организации. Все они обладают правом решения вопроса о содержании, объёме и целях сбора наших персональных данных, а также правом распоряжения ими.
(Подробно о федеральных законах N152 и N210 и правовых действиях граждан - см. в книгах «Новые технологии и права человека», «Электронные услуги или приватизация власти», автор - О.А. Яковлева; статья «В бомжи не уходить, а действовать разумно», http://ruskline.ru/analitika/2014/01/20/v_bomzhi_ne_uhodit_a_dejstvovat_razumno/.
В настоящее время любая организация считает себя оператором и вынуждает граждан давать «Согласие на обработку персональных данных». При возражении человека чиновники или сотрудники организаций безапелляционно ссылаются на ФЗ-N152 «О персональных данных» и требуют согласия фактически в принудительном порядке.
При этом в бланках имеется только название самого закона и нет ни одной конкретной ссылки на статью, обязывающую гражданина давать согласие на обработку персональных данных в конкретной ситуации (получении медицинской помощи, поступления ребенка в школу, детский сад, получение социальных выплат и др.).
В соответствии со статьей 9 ФЗ-N152 «О персональных данных»субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
А является ли нашей волей и соответствует ли нашим интересам бездумное предоставление полной информации о себе, своей семье, собственности, здоровье, доходах организациям, куда мы обращаемся для решения конкретных проблем?
Организации, требуя от граждан «Согласия на обработку персональных данных», не разъясняют смысл понятий, употребляемых в бланках - «персональные данные» и «обработка», не раскрываются гражданам и полномочия оператора. Это происходит неслучайно. Если бы граждане знали закон, то понимали, что давая согласие на обработку персональных данных, они соглашаются на любые действия оператора со всей информацией о себе.
В соответствии со статьей 3 ФЗ-N152:
персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработкаперсональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; обработка включает в себя и трансграничную передачу персональных данных.
При использовании персональных данных оператор обладает правом принятия решений или совершения иных действий, порождающих юридические последствия в отношении лица, давшего согласие или других лиц как субъектов персональных данных. Получая согласие человека на обработку персональных данных - любой информации о человеке - оператор становится их полным хозяином.
Сам гражданин уже исключен из процесса принятия решений оператора, распоряжающегося информацией по своему усмотрению.
Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва «Согласия» уже имеет возможность использовать свои полномочия в полном объеме. Во многих случаях при отзыве согласия к гражданину незаконно применяются репрессивные меры.
Прежде чем дать согласие на обработку персональных данных, гражданину необходимо проверить, имеет ли конкретная организация право собирать и обрабатывать персональные данные, является ли она оператором. Если является, следует выяснить, как этот оператор соблюдает свои обязанности и законодательство РФ.
Направил ли оператор уведомление об обработке персональных данных
В соответствии со статьей 22 ФЗ-N152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществить обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22, в которой перечислен узкий перечень вариантов освобождения операторов от этой обязанности. Большинство организаций, обрабатывающих персональные данные и требующие нашего согласия, обязаны направлять Уведомления.
Статьей 22 ФЗ-N152 к Уведомлению предъявляются следующие требования:
Уведомление должно содержать следующие сведения:
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
Уполномоченный орган после получения Уведомления включает оператора в Реестр.
. Статья 22, п. 4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов.
Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
Эти нормы дают гражданину несколько возможностей проверить законность деятельности оператора. Нужно узнать в уполномоченной организации, направлено ли Уведомление о начале обработки персональных данных, соответствует ли Уведомление требованиям статьи 22, включен ли конкретный оператор в реестр операторов. Очень важно проверить соответствует ли реальная деятельность организации заявленной в Уведомлении. К операторам - нарушителям применяются меры наказания. Пусть не смущают незначительные суммы штрафов, ведь это начальная стадия нашей борьбы. Пока большинство операторов, нарушая наши права, чувствуют свою полную безнаказанность. Дальнейшее развитие событий зависит от нас.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«. г) ч. 3 ст. 22 Федерального закона «О персональных данных» - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
Управлением Уполномоченного органа по Южному федеральному округу была проведена плановая выездная проверка в отношении ОАО «ТАВС «Кубань». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено, что сведения, представленные в уведомлении ОАО «ТАВС «Кубань», не соответствуют фактической деятельности ОАО «ТАВС «Кубань». По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ОАО «ТАВС «Кубань» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
Управлением Уполномоченного органа по Камчатскому краю была проведена проверка в отношении ООО «Согжой». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено, что сведения, представленные в уведомлении ООО «Согжой», не соответствуют фактической деятельности ООО «Согжой». По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ООО «Согжой» к административной ответственности и наложении штрафа в размере пяти тысяч рублей. ».
Необходимо проверить, включен ли конкретный оператор в реестр операторов
Кроме направления Уведомления, условием обработки персональных данных является включение конкретного оператора в реестр, который ведет Уполномоченный орган по защите прав субъектов персональных данных.
Поэтому гражданам необходимо выяснить в этой организации, включен ли конкретный оператор (школа, организация, больница и т.д.) в реестр операторов. Можно получить положительный ответ. Однако устное заверение о включении в реестр нужно проверить.
Это возможно сделать, направив запрос в Уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):109074, г. Москва, Китайгородский пр. д. 7, стр. 2, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; электронный адресдля направления обращений: rsoc_in@rsoc.ru
Можно найти эту информацию самостоятельно в Интернете на сайте Роскомнадзора http://rkn.gov.ru/personal-data/register/. Там размещен реестр организаций, включенных в состав операторов.
Конкретный пример. В сентябре 2012 г. инвалиды Г. и Я. из г. Москвы прибыли в санаторий Санкт-Петербурга. При оформлении в санатории им было предложено дать «Согласие на обработку персональных данных». Уставшие после ночи в поезде, затратившие деньги на билеты, приехавшие на лечение инвалиды были вынуждены дать такое согласие, поскольку препирательство, а возможно и отказ в путевке перенести для них было невозможно. По возвращении домой они проверили на сайте Роскомнадзора, включен ли данный санаторий в реестр операторов, осуществляющих сбор и обработку персональных данных. Оказалось, что санаторий не включен в реестр операторов, вследствие чего сбор персональных данных является незаконным. Вызывает серьезные сомнения и то, что указанный санаторий выполняет требования статьи 19 ФЗ-N152 «О персональных данных» по обеспечению защиты персональных данных. Для восстановления своих прав гражданам необходимо обратиться в Роскомнадзор с заявлением о проверке организации, получающей согласие на обработку персональных данных граждан с нарушением закона и отозвать свое согласие.
Не нужно считать такие действия бесполезными. В соответствии с ч.7 статьи 23 ФЗ-N152 Роскомнадзор предоставляет ежегодный отчет о своей деятельности.
Из отчета Роскомнадзора за 2012 год видно, что случаи нарушения операторами законодательства в сфере защиты персональных данных не остаются без последствий. В обзоре мы приводим несколько типичных фактов нарушений, за которые операторы понесли наказание. Эта информация опубликована в Отчете о деятельности по защите прав субъектов персональных данных за 2012 год.
Статья 23 ФЗ-N152 возлагает обязанность защиты интересов граждан на уполномоченные органы, которые обязаны выполнять целый комплекс действий по контролю за работой операторов.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
В числе других мер Уполномоченный орган по защите прав субъектов персональных данных имеет право:
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
(в ред. Федерального закона от 25.07.2011 N261-ФЗ)
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
Как видно из приведенных положений ФЗ-N152, Уполномоченный орган по защите наших прав наделен широкими правами и имеет комплекс обязанностей по контролю за деятельностью операторов.
Поэтому, прежде чем дать согласие на обработку своих персональных данных тому или другому оператору, гражданину имеет смысл обратиться в федеральный уполномоченный орган для выяснения вопроса обеспечения необходимых по закону правовых, организационных и технических мер защиты своих персональных данных конкретным оператором.
В случае дачи «Согласия на обработку своих персональных данных», человек должен быть уверен в том, что оператором выполняются все требования закона и интересам гражданина не будет нанесен какой-либо ущерб. Гражданину важно знать, обеспечивается ли защита его персональных данных. Для ответа на этот вопрос следует внимательно изучить разделы ФЗ-N152, касающиеся обязанностей операторов по защите наших персональных данных.
В 2009 году в ФЗ-N152 «О персональных данных» были внесены изменения, отменившие обязанность операторов по криптографической защите персональных данных. Это означает снятие шифровальной защиты персональных данных.
В большинстве случаев, получая наши «согласия», операторы не принимают никакой ответственности за безопасность наших персональных данных и не дают гарантий от неправомерного доступа к ним и незаконного использования.
Обязанности по защите наших данных у операторов есть и мы должны их знать и уметь требовать соблюдения закона. При отсутствии гарантий безопасности персональных данных требование их предоставления является незаконным. Давайте попробуем изучить положения федерального закона N152 об обязанностях оператора.
В соответствии со статьей 19 ФЗ-N152 «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Меры по обеспечению безопасности персональных данных указаны в той же статье 19 ФЗ-N152 и требования закона к операторам достаточно жесткие.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
(в ред. Федерального закона от 25.07.2011 N261-ФЗ)
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
В нарушение закона практически во всех бланках «Согласия на обработку персональных данных» отсутствуют какие-либо обязательства оператора по обеспечению мер защиты персональных данных. Гражданам не предоставляется никаких сведений о защите их персональной информации, предусмотренных статьей 19 ФЗ-N152.
Это свидетельствует о том, что операторы не выполняют закон, получая персональные данные граждан, не обеспечивают их безопасность. Таким образом, это дает основания гражданам отказываться от дачи «Согласия на обработку персональных данных».
Информация о мерах защиты должна быть открытой и общедоступной
Операторы умалчивают о положениях ФЗ-N152, регламентирующие их обязанности (статья 18.1).
Оказывая давление на граждан, операторы скрывают собственные нарушения закона и не предоставляют общедоступную информацию о своей деятельности. Перечисленные в законе обязанности оператор обязан выполнять, а граждане имеют право знать, как конкретный оператор на практике реализует мероприятия по защите персональных данных. Наше право на эту информацию закреплено в законе. Нам, гражданам для защиты своих прав и интересов эти положения закона необходимо знать.
В соответствии с п. 2 статьи 18.1 ФЗ-N152 оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
ФЗ-N152 «О персональных данных»
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
(введена Федеральным законом от 25.07.2011 N261-ФЗ)
. 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.
На практике операторы не только не дают информацию гражданам о защите их прав, но и не соблюдают требования закона по многим критериям защиты персональных данных.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«. в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября2008 г. N 687 в части, касающейся несоблюдения Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
Управлением Уполномоченного органа по Кемеровской области была проведена плановая выездная проверка в отношении Муниципального учреждения «Управление образования Администрации Юргинского муниципального района». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним. По данному факту органами прокуратуры возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении Муниципального учреждения «Управление образования Администрации Юргинского муниципального района» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
Территориальным управлением Уполномоченного органа по Камчатскому краю была проведена выездная проверка в отношении Общества с ограниченной ответственностью Управляющая компания «Полигон В» (далее - ООО Управляющая компания «Полигон В»). В ходе проведения контрольно-надзорного мероприятия инспекторами установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним. По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ООО Управляющая компания «Полигон В» к административной ответственности и наложении штрафа в размере пяти тысяч рублей. ».
Требуя предоставления информации от граждан, во многих случаях сам оператор не имеет прав на обработку персональных данных или делает это с грубым нарушением закона.
В соответствии со статьей 9 субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным .
Можно ли говорить о своей воле и своем интересе в случаях, когда оператор, например, школа, поликлиника, организация ЖКХ, социальное ведомство «выдавливают» из граждан согласия путем угроз: лишить социальной выплаты, не допустить школьника к сдаче ЕГЭ, отказать в медицинской помощи и т.д. Что уж говорить о выполнении требования закона об информированности и сознательности согласия, данного в таких условиях.
Люди подписывают бланки, не зная, обеспечены ли меры по защите их персональных данных, является ли организация, получающая согласие, оператором, включена ли она в реестр операторов, соблюдаются ли другие требования законодательства этой организацией.
Часто бланки не имеют наименования организации и адреса оператора или лица, собирающего персональные данные по поручению оператора, нарушаются другие требования статьи 9. В случаях нарушений оператором требований закона гражданин имеет право поставить в известность уполномоченную организацию и не дать согласие на обработку персональных данных.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«. б) ч. 4 ст. 9 Федерального закона «О персональных данных» - несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
В типовой форме согласия на обработку персональных данных, утвержденной ООО «Аварийный комиссар», отсутствовали перечень персональных данных, на обработку которых дается согласие субъекта персональных данных,перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, адрес Оператора и цель обработки персональных данных. Соответствующие материалы были направлены Уполномоченным органом по Кировской области в органы прокуратуры, по результатам, рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ООО «Аварийный комиссар» к административной ответственности и наложении штрафа в размере пяти тысяч рублей, в том числе на должностное лицо ООО «Аварийный комиссар» в размере пятьсот рублей.
В типовой форме согласия на обработку персональных данных, утвержденной ЗАО «Юлмарт», отсутствовалонаименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора. Соответствующие материалы были направлены Уполномоченным органом по Ростовской области в органы прокуратуры, по результатам рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ЗАО «Юлмарт» к административной ответственности должностного лица и наложении штрафа в размере пятисот рублей. ».
Требования закона к форме «Согласия» определены в статье 9 ФЗ-N152 и мы должны эти требования знать.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных (в ред. Федерального закона от 25.07.2011 N261-ФЗ)
Согласиев письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Из образцов бланков «Согласия на обработку персональных данных», направленных в «Союз православных юристов» гражданами видно, что в подавляющем большинстве случаев бланки согласия не соответствуют требованиям статьи 9 ФЗ-N152. Во многих бланках организаций, в которые граждане обращаются по конкретной, узкой проблеме, перечень сведений необоснованно расширен и не соответствует целям деятельности организации.
В соответствии со статьей 9 Федерального закона «Об информации, информационных технологиях и о защите информации» запрещается требовать от граждан предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли человека. Во многие бланки включена информация, относящаяся к перечисленным категориям.
СНИЛС и сведения индивидуальных лицевых счетов в системе пенсионного страхования являются конфиденциальной информацией, которую оператор обязан защитить.
Во многих бланках согласий на обработку персональных данных в числе сведений о гражданах указан СНИЛС. В этих случаях необходимо помнить, что СНИСЛ - это пожизненный и посмертный идентификатор личности человека. Неслучайно в Федеральном законе N27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» говорится о необходимости особой защиты этой информации.
В соответствии со статьей 6 ч.8 ФЗ-N27сведения индивидуальных лицевых счетов являются конфиденциальной информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности. Знание СНИЛС открывает доступ к конфиденциальной информации индивидуальных лицевых счетов.
В настоящее время СНИЛС не только отражает номер индивидуального лицевого счета в пенсионном фонде, но и является единым ключом доступа во все базы персональных данных. Поэтому сообщать СНИЛС граждане должны с большой осторожностью. Зная СНИЛС, можно получить практически всю информацию о человеке и использовать ее в криминальных целях.
Включая в большинстве случаев без всякой необходимости в бланки согласий СНИЛС, оператор подвергает опасности конфиденциальную информацию гражданина. Это тем более опасно, когда оператор не дает гарантий ее защиты.
Включение СНИЛС, ИНН, информации, относящейся к частной жизни, личной и семейной тайне в бланки согласий является следствием полной безнаказанности операторов.
В части 2 статьи 18 ФЗ-N152 «О персональных данных» сказано, что если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить данные.
На практике, собирая персональные данные в принудительном порядке, операторы не указывают федеральные законы, обязывающие граждан предоставлять свои персональные данные конкретному оператору в конкретной ситуации и тем более никогда не ссылаются на положения закона карательного характера, например, отказ в выплате пособия, отказ допустить к ЕГЭ и др. Давление оказывается вслепую, с надеждой на юридическую безграмотность граждан и обычный страх наказания за неподчинение. Гражданам не нужно бояться угроз, а следует потребовать у оператора письменный ответ со ссылками на конкретные нормы федеральных законов, запрещающих, например, выплату социального пособия при отказе дать согласие на обработку персональных данных. Кроме того, нужно сообщить об угрозах в органы государственной власти и направить заявление о проверке деятельности этого оператора в Уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Отчет Роскомнадзора за 2012 год показывает, что наши жалобы не остаются без ответа. В отчете говорится, что увеличение проведенных проверок в отношении операторов напрямую связано с ростом числа жалоб граждан.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«. Как и в предшествующие годы, в 2012 году продолжился рост количества административных правонарушений. Уполномоченным органом составлено 5359 протоколов об административных правонарушениях (2011 год - 4901, 2010 год - 2996).
Выявленные правонарушения были классифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.
Мировыми судьями, по результатам рассмотрения 4786 направленных материалов, были приняты постановления о привлечении операторов к административной ответственности в форме штрафа на общую сумму 8 млн. 680 тыс. 150 рублей. ».
От нашей активности, желания защитить себя, своих детей, свои семьи и наше государство будет зависеть станет ли наша жизнь открытой и прозрачной для всех желающих, будет ли информация о нас концентрироваться в электронных базах данных или этот негативный для граждан и страны процесс будет остановлен.
Заявления и жалобы на нарушение законодательства и конституционных прав граждан можно направлять в Уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):109074, г. Москва, Китайгородский пр. д. 7, стр. 2;электронный адресдля направления обращений: rsoc_in@rsoc.ru ; сайт http://rkn.gov.ru
Информирование федеральных органов надзора будет способствовать более объективному рассмотрению заявлений и жалоб, а также давать этой службе реальную картину работы операторов по стране в целом.
Последние данные о нарушении законодательства операторами за 2014 год (по данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), http://rkn.gov.ru)
В РОССИИ: В Приморском крае за непредставление уведомления об обработке персональных данных оштрафовано пять юридических лиц
Мировыми судьями Приморского края за непредставление или несвоевременное представление в территориальное Управление Роскомнадзора сведений по запросу, а равно представление сведений в неполном объеме, привлечены к административной ответственности ООО «Золотой телец», ООО «Мезонин», ООО «Вертикаль», ООО «Комплекс ДВ», МКУ «Средняя общеобразовательная школа N 35» Артемовского городского округа.
Ранее, в октябре - декабре прошлого года, Управлением были составлены протоколы по ст. 19.7 КоАП РФ в отношении указанных юридических лиц, осуществляющих обработку персональных данных с нарушением требований ч. 4 ст. 20 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Судебными решениями нарушители признаны виновными, назначены наказания в виде штрафов в размере трех тыс. рублей каждому на общую сумму 15 тыс. рублей.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:39
В РОССИИ: В Саратовской области родители отказываются предоставлять школам данные о детях
Прокуратура проверит школы и поликлиники в течение 3 дней, может быть начала доследственная проверка, передаёт ОТР .
В Прокуратуру Саратовской области сегодня обратились родители, которых в школах и поликлиниках принуждают давать согласие на обработку персональных данных детей. Активисты настаивают: людям не разъясняют принцип добровольности этой процедуры. На регистрацию поступившего заявления прокуратуре даётся три дня, после чего будет принято решение о начале доследственной проверки.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:47
В РОССИИ: Нижнекамская городская прокуратура выявила нарушение законодательства о персональных данных
Нижнекамская городская прокуратура провела проверку исполнения законодательства РФ в области персональных данных. Проверка проводилась в ООО «Гостиница «Кама», передаёт портал «Новости прокуратуры».
Правовую основу обращения с персональными данными составляет Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных», а также Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Правительством РФ.
В нарушение требований закона, обработка персональных данных осуществляется в гостинице без получения согласия субъектов персональных данных на обработку их персональных данных.
Кроме того, не назначено должностные лицо, ответственное за организацию обработки персональных данных, а работники организации, непосредственно осуществляющих обработку персональных данных, не ознакомлены с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите.
При этом должностные лица предприятия, осуществляющие обработку персональных данных, не были проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Таким образом, руководителем предприятия не принимаются меры к обеспечению безопасности персональных данных при их обработке.
В связи с этим прокуратура в отношении директора ООО «Гостиница «Кама» возбудила дело об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Материалы проверки направлены в мировой суд для рассмотрения по существу.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:48
О.А. Яковлева,Председатель «Союза православных юристов», адвокат Московской областной коллегии адвокатов, Почётный адвокат России, эксперт Комиссии по вопросам взаимодействия Церкви, государства и общества Межсоборного присутствия Русской Православной Церкви
Е.А. Грищенко, член «Союза православных юристов», редактор правового бюллетеня «Родина православная»
7 марта 2014 года
