Передача персональных данных может осуществляться посредством их предоставления (когда они раскрываются определенным лицам), распространения (когда они видны неограниченному кругу лиц), открытия доступа.
Выполнение указанных действий без согласия их обладателя будет нарушением ст. 7 закона № 152-ФЗ от 27.07.2006 «О персональных данных». На сторону, незаконно использующую чужие личные сведения, можно написать жалобу и привлечь к ответственности.
Какие данные считаются персональными
Согласно ст. 3 закона № 152-ФЗ под персональными данными (ПД) понимаются сведения, прямо или косвенно относящиеся к конкретному физическому лицу (субъекту ПД). Среди них:
- ФИО
- Дата рождения
- Адрес регистрации/фактического проживания
- Номер телефон
- Сведения об образовании, профессии, семейном положении уровне и источниках дохода
- СНИЛС.
Их исчерпывающий перечень законодательством не установлен. Главный критерий – возможность идентифицировать по информации личность конкретного человека, к которому она относится.
При этом каждый гражданин самостоятельно принимает решение о предоставлении ПД и разрешает их обработку (в том числе, передачу кому-либо) операторам ПД – компаниям и учреждениям, которые работают с этой информацией (ст. 9 закона № 152-ФЗ).
Оформление согласия допускается в письменном или электронном виде (если данные передаются через интернет). Зачастую оно дается путем присоединения, когда совершается действие, явно свидетельствующее о намерении подписать согласие (например, ставится галочка в соответствующей графе).
Возможные нарушения в сфере передачи ПД
Нарушением законодательства в сфере передачи ПД будет как факт отсутствия самого согласия, так и отсутствие в нем пункта о возможности передавать ПД третьим лицам. Чаще всего такое допускается кредитными учреждениями, коллекторскими агентствами, работодателями, владельцами интернет-сайтов, поскольку указанные категории операторов обрабатывают ПД значительного количества граждан.
Для человека, чьи данные были раскрыты, возможны неприятные последствия: от надоедливой рекламной рассылки или звонков до попыток истребовать долги других лиц и различных мошеннических действий (завладения деньгами и имуществом, оформления кредитов).
От кредитных учреждений
Персональные данные используются кредитными учреждениями для проверки личности и оценки платежеспособности клиента, а также на случай просрочки задолженности, чтобы привлечь к взысканию коллекторов или использовать для этой цели собственные силы.
Как и все операторы, они могут работать с информацией только при согласии клиента. Как правило, оно дается при первом обращении. В документ должны быть включены все возможные действия: передача данных только внутри своей учреждения (для рекламной рассылки, анализа) или сторонним лицам (коллекторам, партнерам).
Если документ не предусматривает точных формулировок, следует выяснить их точный перечень. По закону можно одобрить одни действия и запретить другие (например, отказаться от рекламной рассылки или использования номера телефона).
Подать жалобу можно на следующие действия со стороны представителей банка, коллекторского агентства:
- Когда звонят родственникам, знакомым и сообщают о наличии и сумме долга, паспортных данных, номере телефона.
- Когда звонят с просьбой пригласить к телефону должника (это может быть даже незнакомый человек) или требованием погасить его задолженность. В этом случае нужно уточнить, откуда получен номер. Если его предоставил должник и все прописано в договоре, то учреждение не нарушает законодательство, и все претензии нужно предъявлять человеку, который передал номер.
Чтобы оградить себя от подобных действий, следует прежде всего запросить доказательства наличия согласия на обработку и распространение ПД. Для этого нужно направить запрос с требованием предоставить сведения об:
- основаниях обработки персональных данных;
- видах ПД и источниках их получения;
- разрешенных целях, сроках обработки и хранения.
Банк обязан в течение 30 дней ответить на запрос. Отсутствие письменного согласия как такового или пункта в нем о возможности передавать данные будет основанием для привлечения к ответственности.
От работодателей
Работодатели считаются операторами ПД, поскольку работают с информацией о сотрудниках. Ст. 88 ТК РФ устанавливает, что передавать ее третьим лицам можно только при наличии от работника письменного согласия на такое действие. Оно не требуется при передаче данных:
- в ПФР, ФСС, налоговые органы;
- правоохранительным органам, прокуратуре, суду по запросу соответствующих должностных лиц;
- для исполнения должностных обязанностей (например, чтобы забронировать для командировки номер в гостинице и билеты или передать клиенту сведения о курьере, доставляющем посылку).
В остальных случаях работодатель обязан взять письменное разрешение. Например, для размещения сведений о работнике на сайте компании (публикации ФИО, должности, биографии), на корпоративной доске почета или в рекламных материалах, для передачи сведений в охранную компанию при оформлении пропуска или бухгалтерам из компании-партнера для расчета заработной платы.
Причем в согласии обязательно должно быть указано:
- Какие именно данные, кому и с какими ограничениями будут передаваться. В документе должны быть графы, где можно отметить, какие ПД можно передавать, а какие нет.
- Посредством каких ресурсов они будут распространяться (сайт компании, СМИ, электронная почта).
- Срок, в течение которое разрешается передавать ПД. Бессрочное разрешение или его автоматическое продление недопустимы.
При отсутствии такого согласия или его несоответствии требованиям передача ПД будет нарушением и дает право работнику подать жалобу.
В интернет-пространстве
Самая опасная среда, где передаются и распространяются персональные данные – интернет-пространство.
Даже когда человек размещает сведения о себе самостоятельно (при покупке в интернет-магазине, на сайте компании при регистрации, на странице профиля в соцсети), распространять или предоставлять их третьим лицам можно только после письменного согласия на такие действия. Молчание не означает, что пользователь согласен на передачу ПД.
Возможные нарушения в этой сфере
Пример 1. На каком-либо сайте пользователь обнаруживает сведения о себе. Если он давал согласие на их передачу, следует обратиться к владельцу интернет-ресурса (администратору, модератору) с требованием удалить информацию.
Также можно уточнить источник, из которого они получены – если передача осуществлена без разрешения, следует подать жалобу в уполномоченные органы.
Но предварительно следует подготовить доказательства того, что ПД размещены на конкретном сайте: сделать скриншот страницы сайта, на которой размещена личная информация, и копию документов (например, паспорта), подтверждающих, что она принадлежит автору жалобы.
Пример 2. Компании берут ПД в интернете и используют их для личных целей (например, рекламной рассылки, звонков с предложением оформить страховку, воспользоваться услугами, пройти анкетирование).
В таком случае следует выяснить, от какой компании поступает звонок и ее адрес, после чего обратиться туда с запросом об источнике получения ПД, их перечне и требованием их уничтожить.
Минимизировать риск незаконного распространения персональных данных в интернет-пространстве помогут следующие рекомендации:
- Не публиковать на интернет-ресурсах снимки паспорта, анкетные характеристики.
- Оставлять на сайтах компаний, в различных сервисах, приложениях данные о себе по минимуму. Вместо фамилии можно использовать псевдоним, чтобы обезопасить себя от телефонных мошенников и понимать, в каком сервисе произошла утечка информации.
- Использовать для онлайн-платежей виртуальную карту банка и переводить на нее необходимые суммы непосредственно перед оплатой покупки. В случае мошенничества основной счет не пострадает.
- Завести дополнительную сим-карту (по желанию), чтобы не разглашать свой основной номер. Подобное решение будет актуально, если пользователь часто совершает онлайн-заказы, занимается продажами через интернет.
- Проверять внимательно адрес сайта при авторизации, предоставлении данных, поскольку существуют «клоны» (фишинг-сайты) для сбора данных (прежде всего, о банковских картах пользователей), имитирующие настоящие ресурсы. Отличия в адресе могут заключаться в переставленных местами буквах, ошибочном написании слов или использовании другого домена.
- С настороженностью относиться к просьбам от компаний предоставить какие-либо данные (если такие действия не инициированы самим пользователем).
- Не передавать сведения о себе неизвестным людям через электронную почту, в социальных сетях.
Куда жаловаться
Во всех случаях незаконной передачи ПД рекомендуется первым делом обратиться к оператору ПД с письменным требованием прекратить использование полученной информации.
Если обращение не принесло результата, можно подавать жалобу в Роскомнадзор, Управление «К» или полицию.
Роскомнадзор
Отвечает за защиту персональных данных граждан. Роскомнадзор наделен полномочиями обращаться к операторам с требованием блокировки или уничтожения недостоверной, а также незаконно полученной информации, привлекать нарушителей к ответственности, обращаться в суд для защиты прав субъекта ПД в суд и представлять там его интересы.
Жалобу можно подать в ближайшее территориальное отделение Роскомнадзора. Удобнее всего это сделать через электронную приемную – нужно выбрать тему обращения «Защита прав субъектов ПД». При необходимости документ можно отправить почтой.
Скачать Образец жалобы на передачу персональных данных в Роскомнадзор
Управление «К»
Это подразделение МВД, расследующее преступления, связанные с информационными технологиями.
В его адрес можно отправлять жалобы о незаконной передаче персональных данных в интернет-пространстве. Сделать это можно через страницу обращений МВД, выбрав в списке подразделений Управление «К».
Полиция
Подавать заявление в полицию целесообразно по нарушениям, касающимся ст. 137 УК РФ («Нарушение неприкосновенности частной жизни») или ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»).
Заявление будет основанием для проведения проверки. Если будут обнаружены признаки преступления – полицейские возбудят уголовное дело.
Обращение в суд
Обязательный досудебный порядок рассмотрения по спорам, связанным с персональными данными, не предусмотрен, но обычно истец предварительно обращается к будущему ответчику с требованием прекратить обработку ПД, а в случае его игнорирования или отсутствии ответа – обращается с иском в суд.
В качестве истца может выступать гражданин, права которого нарушены, или Роскомнадзор (п. 3 ст. 23 закона № 152-ФЗ). Ответчиком будет оператор ПД или другое лицо, которое неправомерно передает/использует ПД.
Подобные дела рассматриваются районным судом в порядке гражданского (в редких случаях – административного) производства.
Иск подается по месту жительства ответчика, в отношении организации – по ее адресу. Если заявляется требование о возмещении убытков и/или компенсации морального вреда, допускается подача по месту жительства истца.