Как доказать факт нарушения 152-фз при сообщении моей фамилии банком моим знакомым

Как доказать факт нарушения 152-ФЗ при сообщении моей фамилии банком моим знакомым?

Здравствуйте! Недавно в приложении тинькофф-банк на айфоне нашёл возможность пригласить друзей оформить карту. Функционал приложения предполагал просто нажатие кнопки «пригласить» напротив контактов телефонной книги, после чего номера телефонов, как я понимаю, отправлялись в банк и операторы банка звонили по этом номерам и предлагали оформить карты. Перед отправкой приглашений мне нигде не предлагалось ставить никаких галочек о передаче моих перс. данных, однако операторы банка обзваниваемым людям говорили не только что их телефон банку дал Алексей, но и называли мою фамилию. Сразу хочу оговорить, что моя фамилия очень редкая, в моём регионе (нижегородской области) я единственный носитель этой фамилии, да и в России тоже мало у кого такая фамилия. На следующий день я начал получать претензии от своих знакомых что Я (разумеется, они поняли, что это я) дал их номера банку. Я обратился в банк с претензией о нарушении закона 152-фз, однако юристы банка мне сказали, что фамилия не является персональными данными, позволяющими идентифицировать человека как физ.лицо, что они (банк) ничего не нарушают, а мои знакомые после общения с операторами банка определили меня лишь на основании «личных предположений» — вот их цитата: «Это личные предположения Ваших знакомых, как они поняли, что это именно Вы предоставили номер, неизвестно.», вот ещё их первый ответ: «Согласно ФЗ №152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Фамилии и имени недостаточно, чтобы отнести данные к конкретному лицу. Таким образом, нарушения законодательства нет, как Вам ранее сообщали сотрудники.» Скажите, пожалуйста, есть ли в данном случае нарушение закона 152-фз и есть ли смысл мне идти в суд и привлекать людей, которые после общения с операторами банка определили мою личность, как свидетелей по данному делу.

Нарушения закона «О персональных данных» в 95% случаев находятся прямо на сайте

Закон о защите персональных данных создал бизнесу дополнительные риски. Фото предоставлено пресс-службой МШУ «Сколково»

Принятие Федерального закона № 152 «О персональных данных» стал головной болью для многих компаний, накладывая на них огромную ответственность. Как в такой ситуации быть тем, кому персональные данные жизненно необходимы для работы, — в частности, интернет-магазинам, — в материале «КС».

Рассматриваемая тема поднималась в начале мая на очередном заседании eCommerce-клуба «Сибирь». Анна Войцехович, патентный поверенный юридической компании «Гребнева и партнеры», чьей специализацией является интеллектуальная собственность, рассказала участникам встречи о том, как можно спокойно жить и работать с персональными данными в условиях сегодняшнего закручивания гаек. «КС» консолидировал тезисы ее выступления и попутно обратился и к другим экспертам в области права, предложив дать свои рекомендации бизнесу в этом отношении.

Кто хочет стать оператором

Что нужно сделать, чтобы Роскомнадзор включил вас в список операторов персональных данных (ПДн)? Да, собственно, почти ничего — достаточно завести на сайте личный кабинет, анкету для пользователя, кнопку обратного звонка, форму для объявления. Можно ли найти интернет-магазин, у которого нет ничего вышеперечисленного?

Если компания, занимающаяся торговлей через Интернет, попадает под это определение (а это почти 100%), ей нужно уведомить Роскомнадзор, причем желательно сделать это как можно скорее, лучше всего еще до того, как начать сбор персональных данных клиентов.

Что нужно запомнить в первую очередь

Во-первых, четкого определения того, что должно входить в перечень персональных данных, нет. Есть то, что Роскомнадзор может счесть таковыми, и вопрос каждый раз будет рассматриваться индивидуально. Если проследить текущую тенденцию судебных дел, персональными данными может быть сочтена следующая информация: фамилия, имя и отчество, дата и место рождения, домашний адрес, семейное, социальное и имущественное положение, образование и место работы. Очень важно: чтобы сведения признали персональными данными, необязательно собирать все, что перечислено выше, достаточно всего одного пункта.

«По факту персональными данными можно назвать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. То есть персональные данные — это любые сведения о человеке, по которым можно его идентифицировать, — подчеркнула Анна Войцехович. — Закон не содержит полного и исключительного перечня таких сведений. Никакой проверки того, что данные относятся к конкретному физическому лицу, закон не предусматривает. Даже если клиент ввел заведомо вымышленные данные, от обязанностей по обработке персональных данных это вас не освобождает».

Во-вторых, презумпции невиновности для подозреваемых здесь фактически нет. РКН не должен доказывать, что те или иные данные — персональные. «Есть основания полагать» — этого более чем достаточно. В свою очередь держатель информации должен дать как можно более убедительные подтверждения тому, что эта информация действительно необходима. Вот пример: интернет-магазин просит при регистрации указать день рождения — для чего? Самый очевидный ответ — чтобы предложить специальную скидку в день рождения или просто поздравить — проверяющих вряд ли устроит. Регулятор вправе потребовать предоставить документ, в котором прописана подобная программа лояльности. Не предоставили — все, сбор считается необоснованным. Говорите, что программа только разрабатывается, — то же самое. «Позиция Роскомнадзора очень проста — информация должна собираться с предельно конкретной целью, и у вас должно быть очень четкое объяснение, зачем вам нужна каждая ее деталь», — комментирует юрист.

Очень часто интернет-коммерсанты собирают все подряд «на всякий случай», не задумываясь о том, зачем нужны все эти сведения, — и это одна из самых распространенных ошибок. Абсолютное большинство персональных данных, которые просят магазины, им не нужны: нередки случаи, когда просят указать домашний адрес еще на этапе регистрации, иногда требуют ввести еще и паспортные данные. Их, кстати, по мнению Анны Войцехович, лучше не собирать вообще; единственная отрасль, которой эти сведения действительно необходимы, — это медицинская, и к ней РКН проявляет особое внимание.

В-третьих, не стоит ожидать того, что вас предупредят перед проверкой. Разумеется, контролирующий орган (в нашем случае РКН) обязан заранее прислать уведомление перед проверкой, если требуется посмотреть какие-то документы в офисе, содержимое сервера, компьютеров и так далее. Но в случае с персональными данными это, как показывает практика, попросту не нужно — по словам Анны Войцехович, в 95% случаев нарушения находятся прямо на сайте компании или магазина. И для того, чтобы их обнаружить, никакие предупреждения не нужны.

Законы, на которые опирается РКН

Нормативных правовых актов, на основании которых разбираются дела о хранении персональных данных, не так много. Чаще всего рассматривается закон 152-ФЗ «О персональных данных», если речь идет об информации о клиентах, и 14-я статья Трудового кодекса, если субъект персональных данных — сотрудники самой компании. Нарушения данных законов относятся к Административному кодексу.

Телефон, e—mail, IP, cookies — спорные вопросы

Подходят ли под категорию персональных данных номер мобильного телефона и электронная почта? Однозначного ответа до сих пор нет. Позиция Роскомнадзора — да, являются, ведь SIM-карты продаются и регистрируются по паспорту, и если вбить в поисковик номер телефона, можно выудить персональную информацию о владельце. Позиция многих юристов — нет, не является, договор с оператором сотовой связи может быть заключен на другое физлицо, а почта может быть рабочей. Уже есть судебные решения: в Санкт-Петербурге суд признал персональными данными e-mail, в Липецке — номер телефона. Бывает, что определения суда включают в список персональных данных еще техпаспорт на дом, сведения о пересечении госграницы — и все эти дела становятся прецедентными. И с ними приходится жить.

Как показывает опыт, судебная и административная практика склоняются к тому, что номер мобильного телефона относится к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, использовать номер для рассылки по нему какой-либо информации).

Если интернет-магазин использует в качестве логина e-mail адрес — это уже сбор персональных данных

Логин и пароль, без которых интернет-коммерсантам, имеющим на своем продающем сайте личный кабинет, никак нельзя обойтись, к счастью, пока персональными данными не признаются. Анна Войцехович приводит цитату руководителя РКН Александра Жарова: «Сами по себе имена пользователей и пароли к учетным записям в сервисах электронной почты или в социальных сетях не являются персональными данными». Но если интернет-магазин использует в качестве логина e-mail адрес (не всегда, но такое тоже встречается) либо требует указать его для подтверждения регистрации (намного чаще) — это уже сбор персональных данных.

Являются ли персональными данными IP-адреса — вопрос во всех отношениях спорный. Арбитражный суд Челябинска в феврале 2016 года дал положительный ответ, за полгода до этого в Санкт-Петербурге суд сделал противоположный вывод. «По моему мнению, IP-адреса нельзя назвать персональными данными, поскольку они идентифицируют не физическое лицо, а компьютер, — высказывает свою точку зрения Анна Войцехович. — И чтобы понять, насколько эта техника ассоциируется с конкретным пользователем, нужно еще очень сильно постараться. В общем, из моей личной практики общения с правоохранительными органами, запросов и судов, я могу сделать вывод, IP-адрес не является персональными данными».

О фотографиях

Закон «О персональных данных», как уже говорилось, не содержит конкретного перечня ПДн, но выделяет несколько категорий: общие, по которым человека можно определить сразу, специальные, раскрывающие его лишь частично, и биометрические. Последние включают в себя не только отпечатки пальцев, но и, например, фотографии, по которым можно удостоверить личность человека. Анна Войцехович приводит пример из личного опыта: на фотографии с места происшествия в кадр попал случайный человек, и полиция, сочтя это биометрической информацией, изъяла снимки, выдав только протокол, без приложения.

Если фотография биометрическая, нужно обязательно взять разрешение на ее публикацию. И сделать это письменно. Если изображение используется в СМИ или рекламе (даже если по ней нельзя опознать человека) — согласие также обязательно. Даже если субъект позировал фотографу сам и получил за это деньги, это не означает автоматического согласия — все должно быть оговорено заранее.

Можно ли исключиться из списка оператора персональных данных?

Совсем исключить себя из списка операторов персональных данных интернет-магазину не удастся, но в ряде случаев можно не подавать уведомление в РКН. Уведомление можно не подавать в следующих случаях.

Если все субъекты ПДн — сотрудники самой компании.

Если персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться. Такой прием используется коммерсантами часто, но по факту с нарушениями. Очень важно запомнить, что заключение договора (или хотя бы начало его оформления) должно произойти раньше обработки персональных данных клиента. В реальности же покупатель сначала регистрируется на сайте, потом выбирает покупку, и уже потом, возможно, что-то покупает. РКН при проверке обязательно обратит на это внимание.

Третий вариант — если человек сам опубликовал свои данные в общем доступе. Этот прием, вопреки утверждению многих юристов, вполне работоспособный, хотя и трудоемкий — подтверждение приходится делать по каждому субъекту. Сам Роскомнадзор смотрит на этот способ более лояльно, чем на предыдущий — в противном случае они бы просто не успевали обрабатывать все поступающие заявки.

О санкциях

С 1 июля 2017 года штрафы за нарушения работы с персональными данными увеличились. С этого момента КоАП (санкции за нарушения 152-ФЗ содержатся в основном в ст. 13.11) включает в себя семь правонарушений, шесть из которых могут затронуть интернет-коммерсантов.

За необоснованный сбор данных (например, номер паспорта, ИНН там, где они не нужны) — штраф до 50 тысяч рублей.

За сбор персональных данных без согласия владельца (нет письменного подтверждения) — до 75 тысяч рублей.

За не опубликованную Политику конфиденциальности компании-оператора (или ее отсутствие) — до 30 тысяч рублей.

За непредоставление субъекту персональных данных информации о них (молчание в ответ на запрос) — до 40 тысяч рублей.

За невыполнение в срок требования субъекта ПДн или контролера (например, уничтожить или уточнить данные) — до 45 тысяч рублей.

За утечку персональных данных или несанкционированный допуск к ним (кроме тех случаев, когда работает уже уголовная статья) — до 50 тысяч рублей.

В случае особо тяжелых нарушений может быть задействован уже Уголовный кодекс, в частности, ст. 131 («Нарушение неприкосновенности частной жизни») или ст. 272 («Неправомерный доступ к компьютерной информации»). Здесь наказание может дойти и до лишения свободы на срок до четырех лет.

Анна Войцехович отмечает также, что решение о том, дать нарушителю время исправиться, оштрафовать сразу или, например, арестовать сервер, Роскомнадзор принимает на месте. Решение зависит в том числе от отрасли, в которой работает компания, к некоторым (например, к медицинским учреждениям) контролеры относятся строже, чем к остальным. Плюс нужно учесть, что приведенные выше штрафы выписываются за каждый установленный факт нарушения и в итоге суммируются. И, что самое печальное, если за одну проверку найдется более одного нарушения, Роскомнадзор имеет полное право закрыть сайт и изъять сервер — то есть парализовать работу всей компании как минимум на два месяца. «Зеркала» открывать бесполезно — РКН давно умеет их находить и закрывать, механизм уже отработан. Так будет хуже только самим нарушителям.

Алгоритм действий

Сооснователь и главный эксперт компании «Б-152» Максим Лагутин по просьбе «КС» дал несколько рекомендаций о том, как не попасть под нарушение федерального закона.

Во-первых, нужно письменно ответить на вопрос, какую информацию о пользователях вы собираете, каким образом она используется и кому передается. Все это должно быть внесено в текущие документы.

Во-вторых, нужно предупреждать всех обо всем: на сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных. Убедитесь, что политика в отношении обработки данных опубликована и доступна на сайте.

На сайте должно висеть уведомление о сборе не только cookies, но и пользовательских данных

В-третьих, важно собирать согласия на обработку персональных данных: нужно высылать ссылку для подтверждения на почту, СМС-код на мобильный телефон или сохранять IP-адрес пользователя. Проверьте, что каждый случай сбора персональных данных на сайте содержит ссылку на соответствующее этой цели согласие. Это может быть просто текст или поле для галочки «Нажимая на кнопку «Отправить сообщение», я даю свое согласие на обработку персональных данных». При этом текст «я даю свое согласие» должен быть ссылкой на текст самого согласия, который должен быть прочитан перед тем, как пользователь сможет дать согласие.

В свою очередь Анна Войцехович рекомендует для начала разделить публичную оферту на три документа.

1. Пользовательское соглашение — договор присоединения, который принимается пользователем без оговорок в полном объеме. Документ позволяет заранее урегулировать возможные конфликты, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию. В ПС прописываются общие условия использования сайта, ответственность владельца сервиса, как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров.
2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин.
3. Политика конфиденциальности, которая описывает порядок обработки персональных данных. Она должна включать в себя перечень информации, которую собирает и обрабатывает сайт, цель сбора информации, требования к защите ПДн и случаи, когда они могут быть переданы третьим лицам. Обязательное условие — пользователь должен иметь возможность редактировать свои данные. Если проверяющий не найдет нужной формы — это уже нарушение. ПК утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Если условия ПК меняются, нужно не только уведомить пользователя об изменении, но и обязательно сохранять на сайте старые редакции Политики, на основании которых собирались персональные данные. Не сохранили — это уже нарушение.

Все три документа должны быть утверждены владельцем сайта и размещены в офисе компании или ином месте пребывания владельца сайта в бумажном виде. Плюс их нужно опубликовать на самом сайте и в мобильном приложении.

Положение о защите персональных данных должно тесно пересекаться с Политикой конфиденциальности, но не дублировать друг друга. Если Роскомнадзор во время проверки найдет в них противоречия (например, в одном документе какое-то условие оговорено, а в другом нет), документы будут признаны «не работающими».

«Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия, которое необходимо поставить на все формы сбора персональных данных на сайте и тем самым выполнить закон. На самом деле на сайте персональные данные через разные формы собираются в разных целях — в одних случаях для осуществления рассылок, в других — для контакта с человеком, в третьих — для скачивания промоматериалов или заказа прайс-листа, — отмечает Максим Лагутин. — Цели разные, и согласия должны быть разные, в противном случае также возможно попасть на штраф на сумму до 50 тысяч рублей».

Многие заблуждаются, считая, что достаточно одного пользовательского соглашения, политики обработки персональных данных или одного согласия

Отписка от рассылок и уведомлений должна работать четко и без сбоев, кнопки отписки должны находиться на видных местах. Если проверяющий не сможет их найти или хотя бы один человек пожалуется на то, что не смог отписаться (и таким образом магазин хранит его данные незаконно), — это уже нарушение.

Нужно выделить и указать на сайте отдельный e-mail адрес, по которому физическое лицо может обратиться с требованием об изменении, удалении его персональных данных и задать любые вопросы по ним. Желательно, чтобы это был не общий почтовый ящик типа [email protected], а выделенный специально для этого адрес.

Лучше всего как можно чаще информировать посетителей и клиентов о том, что их данные собираются и хранятся — в том числе и для маркетинговых исследований. Лишний раз сказать намного лучше, чем не сказать.

Если РКН готов начать проверку (а не просто мониторинг сайта), то, получив уведомление, нужно провести самоаудит: собрать нужные документы, оповестить сотрудников и постараться донести до проверяющих, что вы законопослушные операторы и добросовестно всех обо всем оповещаете.

Наконец, последний пункт, который тоже относится к закону о персональных данных — серверы с ними должны находиться на территории России.

ПРЯМАЯ РЕЧЬ

Антон Карасев, начальник отдела интернет-маркетинга группы компаний «ИТ-ГРАД»:

— Компаниям, относящимся к интернет-магазинам или иным формам бизнеса, необходимо выполнять установленные требования регулятора и в первую очередь помнить о собственной ответственности. Чтобы избежать нарушений, необходимо проработать вопрос правильности составления политики обработки персональных данных и предусмотреть возможность взятия обязательного согласия на обработку ПДн. Если на сайте интернет-магазина присутствуют какие-либо формы сбора данных, под каждой из них необходимо разместить предложение о том, что субъект дает согласие на обработку персональных данных, и обязательно предусмотреть возможность принятия этого условия. Не стоит забывать и о прописанных условиях обработки ПДн, которые должны сопровождаться гиперссылкой на документ со страницы веб-сайта.

— Мы серьезно относимся к подобным юридическим аспектам. Наши компания работает с интернет-магазинами, которых напрямую касается вопрос о персональных данных. Рекомендую каждой компании обратить внимание на опубликованные на своем сайте документы и, если нужно, оперативно внести в него правки.

Чтобы избежать штрафа по причине нарушения требований ФЗ «О персональных данных”, нужно разместить на сайте два документа. Первый — “Согласие субъекта на обработку персональных данных”. Это понятный документ, в котором фиксируется, что пользователь соглашается на обработку своих персональных данных. После указания своих данных (ФИО, почта и телефон) он ставит галочку о том, что он не против обработки данных, которые оставил на сайте. Там же, как правило, ему предлагается ознакомиться с полным текстом документа.

Второй документ — менее понятный, но необходимый — “Политика организации в отношении и обработки персональных данных”. Нет четкого объяснения, каким должен быть этот документ, что такое политика. В связи с этим юристы ИТ-компаний решили, что политикой может стать компиляция из ФЗ «О персональных данных» и некоторая информация из документа “Согласие на обработку персональных данных”.

Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту [email protected] или через нашу группу в социальной сети «ВКонтакте».

Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.

Предоставление личных данных в суде

Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.

Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.

В перечень персональных данных включается следующее:

1. Сведения о дате и месте рождения
2. Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
3. Уровень образования
4. Трудоустройство и стаж
5. Наличие / отсутствие судимости
6. Кредитные данные
7. Информация о родственниках
8. Место жительства (регистрации) лица
9. Переписка в любой ее форме
10. Состояние здоровья
11. Образ жизни и иные биографические данные
12. И так далее.

По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.

Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности.

Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина.

Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.

Что делать при незаконном разглашении персональных данных?

Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности.

Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика.

В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно.

Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга.

Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Каким образом возможно законное использование персональных данных?

Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле.

Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности.

При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.

В соответствующем соглашение на персональные данные должно быть отмечено:

1. Сведения о лице, которое дает согласие. Подобное право принадлежит исключительно самому человеку и неразрывно с ним связано. Поэтому согласие следует получить у самого лица непосредственно. Передача этого права. например по доверенности не допустима.
2. Перечень информации, согласие на получение и дальнейшие действия с которой одобряет лицо. Круг вопросов, входящих в персональные данные, крайне обширен. В этой связи, согласие на получение одних сведений, например, паспортных данных, очевидно не позволяет получать и распространять всю оставшуюся информацию о личности.
3. Список лиц, которым разрешен доступ к информации. Законный порядок передачи персональных данных третьим лицам обуславливает наличие ограничений в части круга лиц, которые вправе обрабатывать личные данные. По этой причине следует отметить перечень доверенных лиц, получивших право на обработку персональных данных.
4. Срок действия согласия. Соглашением на обработку персональных данных может быть предусмотрен период, в течение которого допускается возможность использования данных о личности. Применение полученных от человека сведений за пределами оговоренного срока в равной степени признается незаконным распространением персональных данных с соответствующими последствиями.
5. Порядок отзыва согласия. По общему правилу отозвать разрешение в части персональных данных возможно в любой момент. Для этого требуется подача соответствующего письменного заявления с указанием на прекращение действия разрешения на персональные данные. Вместе с тем, дополнительно в соглашении допустимо предусмотреть каким именно образом и способом возможно сообщить об отзыве согласия на обработку персональных данных.

Последствия незаконного распространения персональных данных

Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.

Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц.

Вид полученной переписки между гражданами не имеет значения.

При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Образец жалобы на незаконное использование персональных данных

• В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
• В Центральный банк Российской Федерации
• От П.
• Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году.

2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей.

Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

1. В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
2. В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
3. Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
4. Звонки поступают со следующих номеров телефонов: …
5. Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов.

Читайте также: Выплаты при сокращении штата работников в 2020 году: какие положены по трудовому кодексу, выходное пособие при увольнении и компенсации

Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.

Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».

На основании изложенного и руководствуясь нормами действующего законодательства,

ПРОШУ:

• провести проверку в отношении ПАО «Бинбанк» по факту разглашения конфиденциальных данных третьим лицам;
• привлечь лиц ответственных за разглашение к предусмотренной законом ответственности.

Автор статьи:

© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»

Адвокатский запрос и персональные данные граждан

1 63-ФЗ следует, что адвокатский запрос представляет собой официальное обращение адвоката в органы власти, различные организации о предоставлении сведений, справок, характеристик и прочих документов, без которых невозможно оказание квалифицированной правовой помощи. Ответ на запрос организации обязаны предоставить в течение 30 суток, а если требуется дополнительное время на сбор сведений, то указанный срок может быть продлен еще на 30 дней.

Если организация или орган власти не предоставит адвокату запрашиваемую информацию, передаст ее в искаженном виде или нарушит установленные сроки, то их ждет административная ответственность по ст.5.

39 КоАП. Возможное наказание за нарушение достаточно мягкое – штраф от 5 до 10 тысяч рублей.

Однако есть ситуации, при которых организации не обязана предоставлять адвокату запрашиваемые сведения:

1. Организация не располагает интересующей юриста информацией.
2. Адвокатский запрос составлен с нарушением закона, либо не соблюден алгоритм его подачи.
3. Требуемые сведения относятся к информации с ограниченным доступом.

Если с первыми двумя пунктами все понятно, то на третьем стоит остановиться поподробнее. Итак, доступ к информации может быть ограничен в целях необходимости защиты конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности страны. В 149-ФЗ сказано, какая именно информация находится в ограниченном доступе:

• государственная тайна;
• коммерческая тайна;
• профессиональная тайна;
• служебная тайна;
• личная тайна;
• семейная тайна;
• персональные данные граждан;
• иная охраняемая законом информация.

По общему правилу, указанные сведения по адвокатскому запросу не предоставляются.

Когда персональные данные по адвокатскому запросу могут быть предоставлены

Согласно ст.7 152-ФЗ, лица, имеющие доступ к персональным данным, обязаны не передавать информацию третьим лицам без согласия на то субъектов персональных данных. Иными словами, если гражданин, предоставивший свои персональные данные, дал такое согласие, то сведения могут быть переданы в рамках адвокатского запроса.

Что делать гражданину, не желающему, чтобы его персональные данные передавались третьим лицам (в том числе через адвокатский запрос)? Физлицо вправе отозвать свое согласие путем направления соответствующего уведомления в адрес оператора (например, администратора доменного имени и т.д.). Точный адрес для отправки уведомлений, как правило, указывается в Политике конфиденциальности. Оператор, получивший письмо, обязан удалить персональные данные в течение 30 дней. Однако гражданин должен быть готов к тому, что вторая сторона прекратит договорные отношения.

Можно ли сделать частичный отзыв согласия на обработку персональных данных (например, запретить компании только передачу данных третьим лицам или ограничить обработку какой-то определенной информации)? Есть ли возможность защитить бизнес и продолжать получать нужные услуги? На практике многие организации говорят четкое «нет», ссылаясь на то, что без передачи данных другим лицам они не смогут оказывать услуги гражданину. Другие компании допускают такой вариант, предлагая клиенту заключить дополнительное соглашение. Однако, с нашей точки зрения, граждане могут осуществить частичный отзыв согласия на обработку персональных данных.

Почему это возможно?

1. В понятие «обработка персональных данных» включаются такие действия, как сбор, хранение, систематизация, передача информации и т.д. Если гражданину дано право запретить совершение всех указанных действий, то он вправе ограничить и отдельные из них.

Есть еще один момент, который заключается в цели обработки персональных данных.

Например, во многих типовых согласиях на обработку персональных данных основной целью регистратора доменного имени является выполнение услуг по Договору, заключенному с заказчиком (обслуживание доменного имени, направление уведомлений, обработка заявлений от клиента и т.д.).

В приложении к согласию могут быть указаны IT-организации, которым может передаваться информация, и с технической точки зрения без такой передачи регистратор действительно не состоянии осуществлять свою деятельность.

Однако, например, передача данных по адвокатскому запросу никаким образом не связана с целью сбора персональных данных регистратором. Следовательно, если гражданин запретит передавать свои данные именно по адвокатским запросам, то регистратор обязан выполнить это требование: прочие действия по обработке персональных данных будут продолжены.

Алгоритм действий будет выглядеть примерно следующим образом:

1. Подготовьте заявление об отзыве согласия на обработку персональных данных. Если Вы желаете запретить какие-либо конкретные действия – опишите их. Не забудьте сослаться на соответствующие статьи 152-ФЗ. Единого образца заявлений нет, оно составляется в свободной форме.

Сайты, передавшие без согласия граждан персональную информацию о них по адвокатскому запросу, могут быть оштрафованы по ст.13.11 КоАП РФ на сумму 75 тысяч рублей. Граждане, пострадавшие от незаконных действий оператора, могут обратиться в суд.

Конечно, чаще всего граждане судятся с кредитными учреждениями по поводу предоставления последними персональных данных коллекторским организациям. Однако встречаются ситуации, когда субъекты подают в суд и по причине неправомерной передачи данных по адвокатским запросам.

Приведем пример

Три гражданина обратились в суд с иском к администрации МО Репьевский сельсовет об обязании прекратить передачу и обработку их персональных данных, уничтожении персональных данных граждан и компенсации морального вреда.

Было установлено, что сельсовет по адвокатскому запросу предоставил персональные данные из похозяйственной книги о месте проживания истцов.

Граждане не предоставляли своего согласия администрации МО Репьевский сельсовет на обработку своих данных.

Также суд обнаружил следующие нарушения:

• адвокатский запрос не содержал данных о лице, в чьих интересах действует адвокат;
• администрация предоставила данные о трех гражданах, хотя адвокат запрашивал информацию только на одного субъекта.

По этим причинам иск граждан был удовлетворен: МО Репьевский сельсовет было запрещено обрабатывать и передавать персональные данные третьих лиц. Однако компенсация морального вреда оказалась совсем небольшой: вместо 100 тысяч на каждого истца суд присудил по 1 500 рублей.

Если бы граждане представили убедительные доказательства своих моральных страданий, скорее всего, компенсация была бы намного выше.

Итак, как мы видим, адвокатский запрос имеет меньшую юридическую значимость, чем, например, запрос правоохранительных органов.

И поэтому у гражданина есть реальная возможность сохранить свои персональные данные в тайне.

Однако каждая ситуация сугубо индивидуальна, поэтому если Вы хотите узнать, как можно защитить собственную личную информацию, — посоветуйтесь с опытным уголовным адвокатом.

Читайте также: Льгота в д.сад: я мать одиночка двоих детей. Имею ли я льготы на очередь в д. защите говорят

Скачать пример (шаблон) заявления на отзыв персональных данных

Предоставление персональных данных по запросу суда

Подборка наиболее важных документов по запросу Предоставление персональных данных по запросу суда (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Предоставление персональных данных по запросу суда

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Открыть документ в вашей системе КонсультантПлюс:Подборка судебных решений за 2019 год: Статья 6 «Полномочия адвоката» Федерального закона «Об адвокатской деятельности и адвокатуре в Российской Федерации»(ООО юридическая фирма «ЮРИНФОРМ ВМ»)Суд отказал в удовлетворении требований адвокату о признании незаконным отказа Главного управления МВД России в предоставлении сведений о транспортных средствах, принадлежащих третьему лицу, на основании адвокатского запроса, согласившись с мнением нижестоящего суда о том, что из положений закона не следует безусловное право адвоката на получение любой информации; адвокат вправе запрашивать сведения, необходимые ему в целях оказания гражданам квалифицированной юридической помощи, однако с учетом ограничений на использование материалов, которые содержат персональные данные третьих лиц. Учитывая, что третье лицо не является представителем лица, в отношении которого адвокат просил предоставить сведения, запрошенная истцом информация относится к персональным данным гражданина, в связи с чем у органа государственной власти правовых оснований для исполнения адвокатского запроса не имелось. Суд обоснованно указал, что при реализации права на оказание квалифицированной юридической помощи адвокат не лишен возможности в случае судебного разбирательства заявить перед судом ходатайство о необходимости получения и использования в качестве доказательств сведений об имущественном положении гражданина (п. 1 ч. 3 ст. 6 Федерального закона от 31.05.2002 N 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»).

Статьи, комментарии, ответы на вопросы: Предоставление персональных данных по запросу суда

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Открыть документ в вашей системе КонсультантПлюс:«Защита данных: научно-практический комментарий к судебной практике»(отв. ред. В.В. Лазарев, Х.И. Гаджиев)

(«ИЗиСП», «КОНТРАКТ», 2020)

Правовая позиция КС РФ, изложенная в указанном Определении, а также в ряде других актов, основывается на том, что невозможность самостоятельно «получить» необходимое доказательство, содержащее персональные данные, и, как следствие, затруднительность осуществления своих процессуальных прав по доказыванию компенсируется правом лиц, участвующих в деле, ходатайствовать перед судом в истребовании доказательств. Таким образом, по общему правилу документы, содержащие персональные данные, могут быть предоставлены только по запросу суда.

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Открыть документ в вашей системе КонсультантПлюс:«Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»(2-е издание, переработанное и дополненное)(Савельев А.И.)

Суды отмечают, что предоставление информации о персональных данных субъекта по адвокатскому запросу федеральным законодательством не предусмотрено. А закрепленное в ст. 6 Федерального закона от 31 мая 2002 г.

N 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа предоставить такую информацию не распространяются на установленные законом конфиденциальные сведения, к числу которых относятся и персональные данные (Определение Первого кассационного суда общей юрисдикции от 28 апреля 2020 г. N 16-1551/2020; Апелляционное определение Московского городского суда от 14 февраля 2018 г. по делу N 33а-448/2018; Апелляционное определение Санкт-Петербургского городского суда от 15 мая 2019 г. по делу N 2а-6545/2018; Определение Приморского краевого суда от 28 апреля 2014 г. по делу N 33-3718). Однако адвокат не лишен возможности при рассмотрении судом конкретного дела с участием его доверителя обратиться к суду с ходатайством об истребовании доказательств, в том числе сведений, содержащих конфиденциальную информацию (Кассационное определение Шестого кассационного суда общей юрисдикции от 12 ноября 2019 г. N 88а-260/2019; Апелляционное определение Свердловского областного суда от 22 октября 2020 г. по делу N 33а-13992/2020).

Нормативные акты: Предоставление персональных данных по запросу суда

Судебная практика по спорам о защите персональных данных

Конституционный Суд РФ решил, что норма Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, не противоречит Конституции РФ.

В Конституционный Суд РФ с жалобой на несоответствие Конституции РФ статьи 7 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», согласно которой операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, обратилась гражданка. Заявительнице было отказано в предоставлении данных на третьих лиц, которые ранее являлись ее коллегами в образовательном учреждении. Гражданка сочла, что эта норма противоречит части 4 статьи 29 Конституции РФ, поскольку позволяет правоприменительным органам отказывать в предоставлении информации, необходимой для защиты нарушенных прав гражданина.

Конституционный Суд определением от 26 мая 2016 г. N 1158-О отказал гражданке в принятии жалобы к рассмотрению. Судьи отметили, что КС РФ уже неоднократно указывал, что в понятие «частная жизнь» включается только та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер. Поэтому ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей. В связи с этим оспариваемая заявительницей норма закона не может рассматриваться как нарушающее ее конституционные права в указанном в жалобе аспекте.

2. За распространение материалов, содержащих персональные данные, СМИ может быть закрыто

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может прекратить деятельность средства массовой информации, если были установлены факты распространения материалов, содержащих персональные данные, и другие систематические нарушения требований закона, допущенные редакцией издания. Так решил Верховный суд РФ.

За нарушение требований статьи 4 Закона РФ от 27 декабря 1991 года N 2124-1 «О средствах массовой информации» и опубликование редакцией газеты «Лабинские вести» материалов, которые содержали персональные данные несовершеннолетней гражданки, а именно фамилии, имени, сведений о школе, в которой обучается несовершеннолетняя, без ее согласия и согласия ее законного представителя, а также ряда других статей с персональными данными несовершеннолетних, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций вынесло письменное предупреждение о недопустимости распространения через средство массовой информации сведений, составляющих специально охраняемую законом тайну, главному редактору СМИ газеты «Лабинские вести». Однако, главный редактор не отреагировала на это предупреждение и продолжала публиковать персональные данные граждан без их согласия. Поэтому Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилось в Краснодарский краевой суд с исковым заявлением о прекращении деятельности газеты «Лабинские вести».

Решением суда первой инстанции исковое заявление Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций было удовлетворено и деятельность газеты прекращена. В качестве апелляционной инстанции в этом процессе Судебная коллегия по административным делам Верховного Суда Российской Федерации. В определении Верховного Суда РФ от 24.06.2015 N 18-АПГ15-7 судьи не нашли оснований для отмены решения суда первой инстанции. Причиной для такого решения послужил тот факт, что в силу статьи 4 Закона РФ от 27 декабря 1991 года N 2124-1 «О средствах массовой информации» не допускается использование средств массовой информации для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну. Новелла статьи 16 данного закона определяет, что основанием для прекращения судом деятельности средства массовой информации являются неоднократные нарушения редакцией требований данного закона. Такие нарушения должны происходить не менее, чем в течение двенадцати месяцев. Как это происходило в спорной ситуации, по поводу чего регистрирующий орган делал письменные предупреждения учредителю и главному редактору. Кроме того, судьи отметили, что по нормам статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» такими данными признается любая информация, которая относится к прямо или косвенно определенному субъекту персональных данных. К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. В соответствии с требованиями закона обработка персональных данных может осуществляться только с письменного согласия в письменной форме субъекта персональных данных. Поэтому, редакция, получившая доступ к персональным данным, должна обеспечить конфиденциальность персональных данных путем их обезличивания. Объективных доказательств того, что у редакции газеты были исключительные обстоятельства для распространения персональных данных в связи с защитой общественных интересов судами получено не было.

3. Требование о предъявлении паспорта на кассе не является нарушением

Нарушение установленного законом порядка сбора, хранения и использования информации о гражданах подлежит административному наказанию.

Однако у покупателя в магазине при возврате товара кассир обязан проверить паспорт и заполнить финансовую документацию, в соответствии с требованием законодательства.

Верховный суд РФ, что такие действия не являются нарушением закона о защите персональных данных.

В отношении торгующей организации постановлением прокуратуры было возбуждено дело об административном правонарушении, предусмотренном статьей 13.11 КоАП РФ. Данное нарушение выразилось в том, что в магазине организации в ходе проверки на предмет соблюдения законодательства о персональных данных было установлено, что организация осуществляет обработку персональных данных физических лиц путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи. При этом осуществляемая организацией обработка персональных данных покупателей не подпадает под исключения, установленные в статье 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Проверка была проведена по заявлению гражданина, который изъявил желание вернуть товар в магазине «Покупочка». При этом ему было предложено заполнить в обязательном порядке заявление, в котором необходимо указывать персональные данные для возврата денежных средств, при наличии чека. В силу статьи 5 Федерального закона «О персональных данных» истребование персональных данных является избыточным. На основании этого организация была привлечена мировым судьей к административной ответственности за совершение административного правонарушения, предусмотренного статьей 13.11 КоАП РФ в виде предупреждения. Однако организация свою вину не признала и обжаловала решение мирового судьи.

Вышестоящие судебные инстанции согласились с выводами мирового судьи о наличии в действиях общества состава данного административного правонарушения. Однако Верховный суд РФ, куда обратилась с жалобой организация, постановлением от 15 июня 2016 г. N 25-АД15-3 отменил все принятые по делу судебные акты и признал организацию невиновной. Судьи отметили, что в соответствии с законом о персональных данных обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных законодательством. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Однако, по нормам Закона РФ от 7 февраля 1992 г. N 2300-1 «О защите прав потребителей» покупатель вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за товар денежной суммы. Постановлением Правительства РФ от 19 января 1998 г. N 55 утверждены Правила продажи отдельных видов товаров, согласно которым которых покупатель вправе возвратить приобретенный товар продавцу и получить уплаченную за него денежную сумму. При этом, продавец обязан соблюдать Положение о порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации, утвержденное Банком России от 12 октября 2011 г. N 373-П (утратило силу с 1 июня 2014 года в связи с изданием Указания Банка России от 11 марта 2014 г. N 3210-У). В соответствии с которым, порядок ведения кассовых операций в целях организации на территории РФ наличного денежного обращения предусматривает выдачу наличных денег кассиром непосредственно получателю, указанному в расходном кассовом ордере, только при предъявлении им паспорта или другого документа, удостоверяющего личность в соответствии с требованиями законодательства Российской Федерации. Исходя из этих норм, ситуация с возвратом денег покупателю из кассы организации на основании его письменного заявления с указанием фамилии, имени, отчества и данных документа, удостоверяющего личность, не противоречит требованиям законодательства. Истребование указанных персональных данных избыточным не является. Поэтому отсутствуют основания для привлечения организации к административной ответственности.

4. Организации обязаны предоставлять ФАС сведения о персональных данных клиентов

Федеральная антимонопольная служба имеет право наказать организацию за отказ предоставить по запросу документы, которые содержат персональные данные физических лиц. Так решил Верховный суд РФ.

Какие данные являются персональными: позиция суда

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр.

Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах.

Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя.

Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга.

Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц.

При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных.

Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку.

Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных.

Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо.

В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность.

У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…