Защита персональных данных: какие сведения не вправе разглашать бухгалтер

Содержание документа

Это документ должен составляться в соответствии с Федеральным законом № 152-ФЗ «О персональных данных». В документе следует указать следующую информацию:

  • ФИО субъекта, сведения о котором необходимо предоставить, или его официального представителя.
  • Номер документа, удостоверяющего личность человека, дата получения и орган, который его выдал.
  • Дата написания запроса и подпись 3-й стороны, т.е тех от кого он исходит.

Составление документа выполняется по следующему алгоритму:

  1. Прописывается шапка запроса (с указанием того, кто направляет документ и его идентификационные данные).
  2. Кому предназначается данный запрос (наименование и адрес организации).
  3. Содержание (указываются причины, по которым требуется предоставить выбранные сведения и их обоснование в соответствии с фактами и законодательством).
  4. Подпись и печать отправляющего органа.
  • Скачать бланк запроса персональных данных 3-й стороны
  • Скачать образец запроса персональных данных 3-й стороны

Ответное обращение

В ответ на поступивший запрос требуется составить ответное обращение, в котором должна содержаться следующая информация:

  1. Название органа, от которого поступил запрос.
  2. Наименование и адрес оператора.
  3. Гражданство сотрудника, чьи данные были затребованы.
  4. ФИО, паспортные данные субъекта, адрес регистрации.
  5. Занимаемая должность.
  6. Сведения о трудовой деятельности в соответствии с отметками в трудовой книге (прилагаемые номера приказов также записываются).
  • Скачать бланк ответного обращения на запрос персональных данных
  • Скачать бланк ответного обращения на запрос персональных данных

Во время отправления ответа нельзя нарушать конфиденциальность передаваемой информации, поэтому бланк с соответствующими сведениями должен заполняться и отправлять уполномоченным лицом – оператором.

Получить персональную информацию могут многие законодательные органы без предварительного разрешения со стороны субъекта. Причиной этому может служить участие в уголовном или административном процессе. Также многие организации, связанные с трудовым законодательством, имеют право запрашивать эти данные у работодателя.

Что относится к персональным данным

Персональные данные – понятие довольно широкое. В него обязательно включаются сведения из паспорта человека: фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, номера ИНН, СНИЛС.

Кроме того, в персональные данные входит информация о национальной и религиозной принадлежности, семейном положении, здоровье, воинском учете, образовании, получаемых гражданином доходах, затратах, льготах, пособиях и субсидиях.

Сюда же причисляются сведения из трудового договора, дополнительных соглашений к нему, результаты профессиональных собеседований, анкет и тестов, заявления, объяснительные и т.п. документы, касаемые деятельности человека по месту работы.

Субъективные признаки разглашения

Разглашение каких персональных данных уголовно наказуемо (судебная практика)

Практика судов общей юрисдикции показывает, что понятие личной тайны трактуется предельно широко, в связи с чем привлечение к ответственности по ст. 137 УК РФ возможно за разглашение практически любых ПД. Отношение тех или иных сведений к личной или семейной тайне устанавливается на основании показаний потерпевшего.

Например, были признаны составляющими личную тайну:

  • Ф. И. О., адрес, паспортные данные, дата рождения, абонентский номер (постановление Стерлитамакского городского суда Республики Башкортостан от 19.04.2012 по делу № 1-249/12);
  • детализация телефонных соединений (приговор Соликамского городского суда Пермского края от 16.11.2011 по делу № 1-511/11);
  • сведения о перемещениях автомобиля (приговор мирового судьи СУ № 28 г. Самары от 25.02.2015 по делу № 1-6/2015).

Куда жаловаться на нарушение закона о персональных данных

Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

Еще одной инстанцией является суд. В рамках судебного заседания можно не только привлечь нарушителей к уголовной ответственности, но и взыскать моральный и материальный вред, возникший вследствие разглашения.

Материалы в суд могут поступить после производства предварительного следствия от уполномоченных должностных лиц государственных органов. Гражданин и сам может стать инициатором судебного разбирательства. Для этого ему необходимо оформить исковое заявление и подать его по месту жительства ответчика.

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):– пациент дал согласие в письменной форме на обработку своих персональных данных;– пациент сам сделал персональные данные общедоступными;– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Понятие БПД

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона о персональных данных).

БПД — это персональные данные, отвечающие двум критериям (ч. 1 ст. 11 Закона о персональных данных):

  • они характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
  • они используются оператором данных для установления личности субъекта персональных данных.

Государственные, муниципальные учреждения признаются операторами персональных данных. (Подробнее это понятие будет рассмотрено в следующем разделе статьи.)

Какие именно персональные данные могут относиться к БПД?

Например, в п. 4 Порядка обработки биометрических персональных данных <1> к БПД отнесены изображение лица и голос.

<1> Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, утв. Приказом Минкомсвязи РФ от 25.06.2018 N 321.

Приказ Минкомсвязи РФ N 484, Правила обработки персональных данных в Федеральном медико-биологическом агентстве <2> устанавливают, что к БПД относятся:

  • цветное цифровое фотографическое изображение лица, полученное при приеме на работу;
  • копия фотографического изображения лица, содержащаяся в паспорте;
  • собственноручная подпись.

<2> Утверждены Приказом ФМБА РФ от 24.05.2017 N 89.

Методические рекомендации по исполнению запросов социально-правового характера <3> относят к БПД сведения о физиологических особенностях человека, на основе которых можно установить его личность. Это отпечатки пальцев, цифровая фотография, форма пальцев, носа, ушей, почерк, походка, распознавание голоса, радужной оболочки глаза, анализ ДНК и др.

<3> Утверждены Росархивом.

В Разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» (далее — Разъяснения Роскомнадзора) к БПД отнесены физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные физиологические или биологические характеристики человека, в том числе его изображение (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.

Вопрос: В каких случаях фотография работника относится к персональным данным, но не относится к БПД?

Согласно определению БПД одним из критериев отнесения информации (например, фотографии) о сотруднике к БПД является использование ее учреждением для установления личности субъекта персональных данных. Поэтому если учреждение не использует фотографию работника для установления его личности, то фото не признается БПД.

Аналогичный подход применен в Разъяснениях Роскомнадзора

В них указано, что необходимо принимать во внимание цель, которую преследует оператор при осуществлении действий, связанных с обработкой персональных данных, содержащихся в паспорте, в том числе фотографического изображения. Если оно используется для установления личности субъекта персональных данных, это БПД

Следовательно, когда учреждение осуществляет сканирование паспорта для подтверждения определенных действий конкретного лица (например, заключения договора об оказании услуг, в том числе банковских, медицинских) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и фотография в паспорте не признается БПД.

Вопрос: Относятся ли к БПД фотографии сотрудников в анкетах и делах, хранящихся в отделе кадров, а также подписи в них?

В Разъяснениях Роскомнадзора указано, что не считаются БПД фотографическое изображение, содержащееся в личном деле работника, подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Они не относятся к БПД, поскольку действия с использованием таких данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.

Таким образом, указанные в вопросе персональные данные не признаются БПД.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете бухгалтер компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. и ТК РФ).

Однако если бухгалтер решит оспорить в суде увольнение на основании пункта 6 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

— сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

— они стали известны работнику в связи с исполнением им трудовых обязанностей;

— уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

Также читайте:

Цифровая медицина — реальность ближайшего будущего Врачам предписано выдавать электронные рецепты своим пациентам С 1 июля 2017 года врачи могут выдавать электронные больничные

Свежие новости цифровой экономики на нашем канале в Телеграм 

Нужна электронная подпись для врача? Достаточно оставить заявку. Мы поможем выбрать нужный в вашем случае тип сертификата электронной подписи,
расскажем как его применить и предоставим другие дополнительные услуги. Оставить заявку >>
Нужна электронная подпись для маркировки лекарств?Достаточно оставить заявку. Мы поможем выбрать нужный тип сертификата электронной подписи,
расскажем как его применить и предоставим другие дополнительные услуги. Оставить заявку >>

Чем регулируется

Федеральное законодательство:

  • «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
  • 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
    Особенно интересны цитаты:
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
  • «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

25.rsoc.ru

Особенности предоставления личных данных

Гражданин вправе отказаться в любое время от ранее данного согласия, если у него нет желания на их разглашение. Тем более, если такие сведения каким-то образом ущемляют его права и интересы. Сделать это можно, написав заявление в определенном формате. Оформить это нужно в двух экземплярах, один остается на руках с отметкой о вручении второго оператору.

Однако во многих организациях, в том числе и при трудоустройстве, использование данных о человеке является обязательным для заключения договорных отношений. При таком условии отказаться от предоставления нельзя.

Кроме соглашения на использование ПД необходимо получить положительное решение на передачу 3-м лицам.

Есть определенные исключения, когда лица могут передавать вышеописанные данные гражданина без его согласия. К таким случаям относится:

  • при передаче в инспекцию по налогам и военный орган;
  • при запрашивании милицией или прокурором;
  • службе в случае возникновения угроз для жизни и здоровья человека;
  • по письму трудовых инспекторов;
  • при тяжком нанесении вреда жизни и здоровью в соответствующие инстанции.

При этом кредитное учреждение, банковские работники, сотрудники страховых компаний в этот перечень не входит. Туда информация попадает с согласия от руки личности.

Правила рассмотрения обращений от субъектов или их представителей

Рассмотрение названных обращений называется – регламентом по реагированию на запросы субъектов персональных данных или их представителей и занимается ими начальник, заместитель или уполномоченное должностное лицо, в число обязанностей которых входит обработка персональных сведений. Данные должностные лица обеспечивают:

  1. Своевременное, объективное и всестороннее рассмотрение документа.
  2. Отправку ответов в письменной форме по существу запроса.
  3. Принятие мер для восстановления или защиты нарушенных прав и интересов субъекта.
  4. Все поступающиеся запросы фиксируются в день поступления. На бумагах ставится штамп с указанием даты и входящего номера.

Документ прочитывается и проверяется на повторность. В некоторых случаях сверяется с прошлой перепиской (если таковая есть). При наличии обращений в прошлом, запрос может быть повторен спустя 30 дней после последнего обращения.

После прохождения регистрации запросы отправляются руководителю компании или его заместителю, которым определяется срок и порядок рассмотрения. После чего даются указания исполнителям.

Во время рассмотрения запроса должностным лицам следует:

  1. Разобраться в существе требования, при необходимости попросить дополнительные данные или отправить работников для проверки информации, изложенной в поступившем документе, принять иные меры для решения поставленных вопросов, обнаружения и устранения причин и условий, вызвавших нарушение закона о ПД.
  2. Принимать законные и обоснованные решения, а также обеспечить качественное и своевременное их выполнение.
  3. Уведомлять письменно заявителей о принятых решениях, ссылаясь на законодательство РФ. При отклонении запроса – объяснить порядок обжалования полученного результата.
  4. Организация должна уведомить субъект или официального представителя о наличии информации о персональных данных данного гражданина, и предоставить право ознакомления со сведениями, при обращении в течении месяца с даты получения запроса.

При отказе в предоставлении указанной в обращении информации о выбранном субъекте, уполномоченные должностные лица должны предоставить мотивированный ответ в письменной форме со ссылкой на часть 8 ст. 14 Федерального закона или иного закона, который может послужить основание для отказа, в течении 30 дней со дня обращения или с даты получения запроса.

Что такое персональные данные

Закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) определяет персональные данные (далее — ПД) как всякую косвенно или напрямую относящуюся к физическому лицу (носителю ПД) информацию. Организации, индивидуальные предприниматели, государственные и муниципальные органы, а также прочие хозяйствующие субъекты в ходе своей деятельности получают и обрабатывают большой объем такой информации в отношении как своих работников, так и других граждан.

В частности, ими могут быть получены:

  • данные о личности человека (паспортные данные, сведения об образовании, трудовой деятельности, военной службе, финансовом и семейном положении, медицинские данные, биографические факты);
  • данные о родственниках человека;
  • прочие сведения, с помощью которых можно идентифицировать человека (переписка, сведения о полученных и отправленных сообщениях, телефонных контактах).

Получение ПД должно производиться по общему правилу с согласия субъекта ПД (за исключением некоторых случаев, перечисленных в ст. 6 закона № 152-ФЗ). Обрабатывать ПД (в том числе распространять) можно только в соответствии с принципами, определенными ст. 5 того же закона, — и только в законных и заранее установленных целях, на законной основе и т. д. В противном случае возможно привлечение нарушителей к ответственности, в том числе уголовной — по ст. 137 УК РФ.

В организациях доступ к ПД обычно в силу служебных обязанностей имеют лишь руководители, сотрудники бухгалтерии, юридической и кадровой служб, а в государственных (особенно правоохранительных) и муниципальных органах он может быть и у множества рядовых сотрудников. Если такие работники будут использовать соответствующие ПД не по назначению, их может ожидать ответственность по ч. 2 или 3 ст. 137 УК РФ (наказание по которым гораздо строже, чем по ч. 1).

Мой кредит еще действует и долг не погашен. Могу ли я написать заявление на отзыв персональных данных из банка?

Многие юридические форумы грешат громкими заявлениями, что отзыв персональных данных – это выход из ситуации, когда нечем платить кредит. Мол, каждый заемщик может написать заявление на отзыв персональных данных и у банка не будет права звонить и присылать письма должнику. Сейчас мы расскажем, обязан ли кредитор реагировать на отзыв персональных данных из банка.

Обработка персональных данных банком

Итак, обработка, хранение, учет и передача персональных данных регулируются положениями федерального закона N 152-ФЗ «О персональных данных».  В соответствии со статьей 7 этого закона, банк обязан не раскрывать и не распространять персональные данные заемщика без его согласия. Однако, сразу стоит отметить, что подписывая кредитный договор, заемщик в 95% случаев дает такое согласие. Как правило, там написано, что заемщик дает банку право на сбор, систематизацию, хранение, уточнение, обновление, изменение, использование, передачу и уничтожение персональных данных. Если вы считаете, что ничего такого не подписывали, то, возможно вам стоит более внимательно почитать условия кредитного договора.

Хорошо, но ведь у заемщика есть право на отзыв персональных данных? Более того, согласно, статье 21 закона «в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку». Так почему же кредиторы не прекращают их обработку, если заемщик письменно оформил отзыв на обработку персональных данных из банка?

Отзыв на обработку персональных данных банком при действующем кредите.

Все дело в том, что банк имеет право не учитывать мнение заемщика до тех пор, пока заемщик не расплатился. И это логично. Представьте, что кто-то взял у вас в долг деньги, потом написал заявление на отзыв обработки персональных данных и перестал платить. Получается, что вы и без денег остались, да еще и напоминать о долге не имеете права. Понятно, что это нарушение прав кредитора и закон не может такого допустить.

Поэтому статья 6 и статья 9 закона «О персональных данных» указывают, что если обработка персональных данных необходима для исполнения договора (кредитного договора), в которой субъект обработки персональных данных является стороной (заемщиком, поручителем), то оператор персональных данных (кредитор) имеет право на ее обработку. Причем, даже если заемщик напишет заявление на отзыв персональных данных, то кредитор вправе и дальше ее обрабатывать.

Поэтому отзыв персональных данных из банка при действующем кредите невозможен, т.к. у банка есть право на обработку ваших данных в соответствие со статьей 6 и статьей 9 закона «О персональных данных».

Передача персональных данных коллекторам

Итак, мы разобрались, что отзыв персональных данных из банка не лишает права банк обрабатывать ваши персональные данные. Однако, если банк продал ваш долг коллекторам, то в этом случае на ситуацию можно поглядеть под другим углом.

Напомним, что обработка персональных данных допускается, если она необходима для исполнения договора, в которой заемщик является стороной или поручителем. Однако банк заключает с коллекторами агентский договор или договор цессии. И в этом договоре заемщик не является ни стороной, ни поручителем. Это значит, что обработка персональных данных заемщика в этом случае не допускается.

Таким образом, обработка персональных данных коллекторами не имеет под собой юридической основы. На основании положений закона «О персональных данных», норм Гражданского Кодекса и закона «О защите прав потребителей» заемщик вправе поставить Запрет на взыкание долга коллекторами.

Что является персональными данными?

В соответствии с п. 1 ст. 3 Закона N 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий