Необоснованное поручение обработки персональных данных третьим лицам ответственность

Необоснованное поручение обработки персональных данных третьим лицам ответственность

Общая процедура обработки операторами личных данных о гражданах без их специального разрешения выглядит следующим образом:

  1. Оператор при наличии законных оснований получает информацию. Извещать лицо о начале обработке его сведений не требуется, но в ряде случаев уведомление направляется в Роскомнадзор.
  2. Оператор осуществляет необходимые действия (собирает, записывает, передает, уточняет и т. д.). Как указано в ст. 5 закона № 152-ФЗ, действия пользователя ограничены целью обработки.
  3. После достижения целей или после прекращения необходимости использования данные уничтожаются или обезличиваются.

Дополнительным этапом может стать оспаривание физическим лицом правомерности использования информации о нем. Органом рассмотрения споров является (на выбор гражданина) суд или Роскомнадзор.

Передача персональных данных третьим лицам

Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы.
Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн.2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай.

Важноimportant
Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =)3.

На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность.

Статья 6. условия обработки персональных данных 

ФЗ № 152 перечень случаев, когда ПДн могут законно обрабатываться без согласия лица, которому они принадлежат, исчерпывающе определен. И описанная ситуация в этот перечень не попадает. Во-вторых, в соответствии со ст.


18

Вниманиеattention
ФЗ № 152 в случае, когда ПДн получены не от субъекта, которому они принадлежат, оператор обязан уведомить субъекта о факте обработки его ПДн и сообщить ему определенный перечень информации, что создает еще одну сложность. К тому же вполне очевидно, что реализация такой обязанности оператором в ряде случаев может повлечь законное требование субъекта о прекращении обработки его ПДн.

Это создает юридические сложности в описанной выше ситуации. На практике появилось как минимум три варианта соблюдения норм ФЗ № 152 при обработке ПДн «контактных» лиц – без их согласия и уведомления.

Сообщество «жкх: открытая трибуна»

Инфоinfo
В качестве примера практической ситуации возникновения такой потребности рассмотрим следующий пример. Заемщик-гражданин обращается в банк или иную финансовую организацию1 с заявлением о предоставлении потребительского кредита.

Наличие в таком заявлении телефонов и иных контактных данных родственников, друзей, родителей заемщика повышает (в случае возникновения просрочки) вероятность успешного взыскания долга, по разным оценкам, на 20–40%. Таким образом, в описанной ситуации возникает необходимость обработки ПДн так называемых «контактных» лиц (далее – ситуация), однако правомерность такой обработки неочевидна.

Практика выработала, как минимум, три способа2 юридического оформления обработки в приведенной ситуации, которые будут рассмотрены далее. Суть проблемы В описанном выше примере ПДн субъекта получаются без его согласия от третьего лица.

При этом в соответствии с ч. 1 ст.

В-третьих, необходимо подготовить соответствующую аргументацию по вопросу неотнесения к ПДн номера телефона контактного лица. В теории номер телефон может быть классифицирован как обезличенные персональные данные, так как установить принадлежность совокупности цифр конкретному лицу возможно только при доступе к базе оператора связи.

Юридически для финансовых организаций это невозможно. В судебной практике в подобных ситуациях номер телефона, как правило, не признается ПДн, поскольку расценивается не относящимся к конкретному лицу3. Таким образом, одним из вариантов обработки информации о «контактных» лицах должника является сбор данных в объеме, достаточном для взаимодействия с контактным лицом, но недостаточным для признания их персональными.

Таким образом, юридических препятствий, вопреки мнению отдельных экспертов, для признания физического лица оператором ПДн не существует. Комментарий эксперта ЛюбовьШорина Консультант практики аудита и консалтинга компании “Астерос Информационная безопасность» Обеспечение правомерности обработки ПДн, полученных не от субъекта персональных данных, действительно является одним из наиболее сложных моментов применения ФЗ № 152, поскольку в большинстве случаев требует наличия согласия и уведомления субъектов на обработку их персональных данных (ст.

6 и 18 ФЗ № 152 соответственно), а также обязательного подтверждения лицом, которое предоставляет оператору персональные данные субъекта, наличия у него правовых оснований для их обработки (ст. 9 ФЗ № 152).
Ответственность за нарушения при обработке ПДн у финансовой организации в этом случае есть только перед заемщиком-оператором ПДн контактного лица. Перед самим же «контактным» лицом за все нарушения, в том числе возможно допущенные финансовой организацией, будет отвечать заемщик.

Получая таким образом ПДн, финансовая организации освобождается от обязанности предоставления информации, предусмотренной ч. 3 ст. 18 ФЗ № 152 для ситуаций, когда информация получена не от самого субъекта. Таким образом, данная схема позволяет обрабатывать ПДн третьего лица, не получая непосредственно от него согласия.

Итог Это основные встречающиеся на практике решения по обработке ПДн «контактных» лиц.
В настоящей статье не рассматривается вариант, при котором заемщик действует как представитель контактного лица на основании доверенности. Во-первых, такой вариант прямо вытекает из закона, во-вторых, он вряд ли возможен в большинстве типичных сделок профессионального кредитора,поскольку оригинал доверенности с подписью контактного лица большинство заемщиков представить не могут.3 См., например, Апелляционное определение Московского городского суда от 28.01.2014 по делу № 33-5461.4 Оператором, в соответствии с ФЗ № 152, признается государственный муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели их обработки, состав и действия (операции), совершаемые с ними.
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона. 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); (п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ) 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (в ред. Федерального закона от 05.04.2013 N 43-ФЗ) (см.

Такое количество не вполне согласованных между собой требований зачастую вызывает массу вопросов и сложностей в попытке спроецировать их на конкретную ситуацию. Причем проблемы возникают даже в том случае, когда персональные данные предоставляются юридическим лицом, например кадровым агентством.

Однако если в заключенном между компаниями договоре можно прописать соответствующие обязанности сторон в части соблюдения требований ФЗ № 152, то ситуация несколько упрощается. Рассмотренные автором статьи варианты соблюдения требований ФЗ № 152 на практике при обработке персональных данных «контактных» лиц представляют несомненный интерес и еще раз подчеркивают несовершенство данного закона, так как для его выполнения операторам приходится изобретать столь изощренные и неоднозначные схемы. С практической точки зрения наиболее удобен последний из рассмотренных вариантов.

  • заключения и исполнения договора, в котором субъект выступает стороной или выгодоприобретателем;
  • невозможности получения согласия при угрозе жизни, здоровью, важным интересам лица;
  • реализации прав, обеспечения интересов оператора (обрабатывающего информацию лица) или третьих лиц, достижения общественно значимых целей;
  • осуществления профессиональной деятельности журналистами и СМИ, творческой деятельности, когда это не нарушает права человека;
  • использования обезличенных сведений о лице в исследовательских и статистических целях, за исключением политической агитации, продвижения товаров, услуг и работ на рынке;
  • необходимости обязательного раскрытия, опубликования данных на основании указания закона (например, госслужащие обязаны раскрывать сведения о своих доходах).

Порядок обработки (хранения, распространения и т.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *