Номер телефона персональные данные

Нко и персональные данные: 10 советов юриста | милосердие.ru

Номер телефона персональные данные

Если вас интересует благотворительность, вы хотите разбираться в новых технологиях, читать экспертные интервью с яркими фигурами в мире НКО и помогать с умом — подписывайтесь на секторную рассылку Милосердие.РУ. Чем больше мы знаем, тем лучше помогаем!

Считайте любую информацию о человеке персональными данными

Если НКО заносит в таблицу фамилии, имена, отчества и телефоны волонтеров или благополучателей — это уже обработка персональных данных. С точки зрения закона эта организация – оператор персональных данных.

Потому что к персональным данным относится любая информация о физическом лице (субъекту персональных данных), говорится в законе.

«На практике никогда нельзя сказать с уверенностью, что конкретная совокупность данных – это персональные данные. Если это телефон, имя, фамилия — наверное, да, это будут персональные данные.

Если рассматривать просто номер телефона без имени и фамилии – здесь уже вопрос», — говорит Ксения Королева, юрист московского офиса международной юридической фирмы Latham & Watkins, специалист по российскому праву.

Главный признак – персональные данные позволяют идентифицировать личность.

Обработка персональных данных – это «любые действия» с ними, включая сбор, систематизацию, хранение, уточнение и т.п. Оператор персональных данных – тот, кто их обрабатывает, точнее — организация или лицо, которые определяют цели и способы обработки. Это не рядовой сотрудник, который просто заносит номера телефонов в таблицу.

Статус оператора персональных данных предполагает ряд обязанностей, их нарушение влечет за собой санкции. Безусловно, оператор должен обеспечивать безопасное хранение персональных данных, он не имеет права передавать их третьим лицам без согласия субъекта, должен обезличивать или уничтожать данные, когда цель их обработки достигнута и т.п.

Кроме того, оператор должен опубликовать в открытом доступе свою политику – принципы работы с персональными данными. И назначить лицо, ответственное за соблюдение режима обработки.

Составьте политику работы с персональными данными «на все случаи жизни»

В политике, опубликованной на сайте, нужно перечислить, какие именно персональные данные обрабатывает организация, как она это делает, с какой целью, где хранит, кому передает в процессе работы.

Документ должен быть очень подробным и учитывать все возможные ситуации. «Все, что сможете придумать, лучше написать. Если, например, вы пока не планируете трансграничную передачу данных, все равно лучше ее упомянуть, вдруг потом пригодится», — советует Ксения Королева.

В таком подходе имеется недостаток. У сотрудников Роскомнадзора – это основной орган, регулирующий работу с персональными данными — может возникнуть вопрос, зачем организации нужен такой «карт-бланш». На него, по словам юриста, можно честно ответить: это на будущее.

Главное – каждый пункт документа должен быть логичным и основываться на конкретном опыте работы. Тогда и устранять недоразумения с Роскомнадзором будет проще.

Продуманная политика помогает предотвратить многие претензии. Например, на практике бывает довольно сложно получить согласие на обработку персональных данных до того, как эта обработка уже началась. Но можно на всякий случай прописать в своей политике, что, обращаясь в организацию, человек фактически соглашается с определенной обработкой своих персональных данных.

Заготовьте кипу письменных согласий

Согласие гражданина на обработку его персональных данных – главное условие работы с этой информацией.

Закон предусматривает ряд обстоятельств, когда согласие не требуется. Но его формулировки слишком широки, а правоприменительная практика невелика, поэтому юристы советуют НКО всегда стараться запастись согласием на обработку персональных данных — и волонтеров, и благополучателей, и даже сотрудников.

Пример – мероприятие с участием волонтеров, чьи данные затем будут где-то храниться. Лучше перед началом этого события распечатать бланки согласия и каждому дать подписать такой документ, советуют юристы.

В крайнем случае, если регистрация на мероприятие происходит через сайт, можно разместить там специальную форму, чтобы можно было согласиться на обработку персональных данных, поставив «галочку».

Предусмотрите в согласии все варианты

«Галочка» в веб-форме – это вариант простого согласия. Для обработки так называемых специальных категорий персональных данных, а также биометрических персональных данных требуется согласие на бумаге, собственноручно подписанное, или электронное, заверенное электронной подписью.

Специальные категории персональных данных – это сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Например, если НКО проводит занятия с детьми-инвалидами и составляет список класса, где упоминается инвалидность, значит, она обрабатывает специальные персональные данные. Ей требуется развернутое письменное согласие на эти действия.

На практике бывает сложно отличить специальные персональные данные от простых, поэтому во всех случаях лучше брать полноценное согласие, считает Ксения Королева.

Причем это согласие, как и политика, должно охватывать все возможные варианты действий с персональными данными. Например, если НКО собирается делиться информацией о просителях с врачами или юристами, об этом обязательно нужно упомянуть в тексте согласия.

Если все «третьи лица», которые получат доступ к данным, заранее известны, можно их сразу же и перечислить (иногда для этого приходится написать приложение к согласию). Если нет – нужно искать подходящую широкую формулировку. Вплоть до «любые третьи лица».

При передаче данных за рубеж помните о двух правилах

ИТАР ТАСС

Если данные будут передаваться за рубеж, в согласии должна быть упомянута конкретная страна. Это не требуется лишь в двух случаях: когда речь идет о государстве, подписавшем Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных; и когда государство входит в перечень Роскомнадзора (к слову, там есть Израиль, но нет США).

Кроме того, существует закон о локализации персональных данных. Он предписывает все действия по обработке персональных данных гражданина РФ производить на территории России. «Операторы должны обеспечить, чтобы все действия по обработке персональных данных сначала осуществлялись на территории России, и только потом дублировались в базе данных за рубежом», — поясняет Ксения Королева.

Закон легко нарушить, даже не подозревая об этом. Например, зарубежная клиника обновила персональные данные лица, с которым работает благотворительный фонд, а фонду об этом не сообщила.

«Мы советуем при передаче персональных данных за рубеж дописать в конце просьбу учитывать российское законодательство, и прежде чем вносить изменения, сообщить о них российской организации, чтобы она сделала это первой», — говорит юрист. Не факт, что клиника учтет просьбу, но у НКО будет хоть какое-то оправдание.

Получите согласие, прежде чем использовать фото

Фотографии, позволяющие установить личность человека, относятся к биометрическим данным. Для их использования (например, для публикации на сайте) требуется письменное согласие.

Но если фото не годится для идентификации гражданина – это не биометрические данные. Например, ксерокопии документов с фотографией, фото в истории болезни, фотографии в профиле в соцсети. Или, если снимали помещение, а человек оказался в кадре случайно и изображение нечеткое.

В законе названы случаи, когда получать согласие на использование изображений не требуется. Это съемка на публичных мероприятиях, использование в государственных или общественных интересах, позирование за плату.

Но ссылаться на эти исключения бывает нелегко. «Митинг на площади – публичное мероприятие. А если вход, допустим, на круглый стол, происходит по приглашениям, то здесь могут возникнуть вопросы», — говорит Александра Самсонова, помощник юриста в Latham & Watkins, специалист по российскому праву.

Оздоровительные или образовательные мероприятия для детей-инвалидов, безусловно, проводятся в интересах общества. «С другой стороны, есть личные интересы каждого ребенка, которому вы помогаете, — отмечает Ксения Королева. — Роскомнадзор может сказать: а вот эта мама не хотела публикации фото».

Если письменного согласия субъекта нет, его действия – тоже аргумент

РИА Новости

К НКО часто обращаются просители со всей России. Допустим, в фонд пишет житель Алтайского края: помогите моему ребенку пройти реабилитацию. В ответ сотрудники НКО должны написать: мы рассмотрим вашу просьбу, после того как вы пришлете нам собственноручно заполненное согласие на обработку персональных данных.

Если НКО этого не сделала, во избежание штрафов и других санкций на случай почтовой переписки Ксения Королева предлагает такой аргумент для проверяющих органов: отправку письма с просьбой о помощи можно считать конклюдентным действием (поведение лица, показывающее, что он согласен вступить в определенные правоотношения).

«Лицо направило вам письмо с определенной информацией и с определенным указанием, что с этой информацией делать. Это не стопроцентный, но все же аргумент», — объясняет она.

Переложите часть ответственности за безопасность на субъекта данных

Обеспечить безопасность чужих персональных данных просто: их нужно хранить так же, как вы храните конфиденциальную информацию о себе, говорят специалисты Latham & Watkins.

Например, бумажные документы с персональными данными должны находиться в шкафу, запертом на ключ, чтобы доступ к ним был только у ответственного лица.

Если персональные данные хранятся в электронной базе, могут возникать различные сомнения: надежно ли облачное хранилище, в России ли находится сервер и т.п.

В этом случае Ксения Королева советует указать в согласии, что персональные данные будут передаваться третьим лицам, предоставляющим средства IT для их хранения.

Таким образом часть ответственности за сохранность данных будет переложена на человека, подписывающего согласие, говорит она.

Обязательно уведомите Роскомнадзор

ТАСС/Юрий Смитюк

До начала сбора и обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении. Но в этом правиле есть исключения. Например, уведомление не нужно, если речь идет об обработке данных сотрудников по Трудовому кодексу, если субъект данных сам сделал их общедоступными, если при обработке не используются средства автоматизации.

Доказать, что какое-то из этих исключений относится к конкретной НКО, не так легко, как кажется. Например, публикация данных в соцсетях далеко не всегда рассматривается как «общедоступная».

Поэтому юристы советуют в любом случае уведомлять Роскомнадзор. Но на практике клиенты стараются этого не делать, так как не хотят привлекать внимание, отмечает Ксения Королева.

Роскомнадзор проводит в первую очередь документарную проверку того, как организации работают с персональными данными. Если у него возникают сомнения, что персональные данные хранятся правильно и безопасно, проверку продолжают уже правоохранительные органы.

Зарегистрируйте сайт на того, кому он принадлежит на самом деле

Штрафы для нарушителей закона «О защите персональных данных» колеблются в промежутке от 15000 до 75000 рублей. Самая серьезная мера – блокировка сайта. Она не происходит за один день, сначала владелец получает предупреждения от Роскомнадзора. Однако, если сайт зарегистрирован не на человека, которому принадлежит на самом деле, санкция действительно может оказаться неожиданной для НКО.

Письменное согласие на обработку персональных данных должно включать:

— фамилию, имя, отчество, адрес, паспортные данные субъекта персональных данных и его законного представителя (если таковой имеется);— сведения об операторе персональных данных, которому дается это согласие;— цель обработки;— перечень персональных данных, на обработку которых дается согласие;— перечень действий с персональными данными, на совершение которых дается согласие;— сведения о третьих лицах, которым будут передаваться данные или поручаться их обработка;— срок, в течение которого действует согласие, а также способ его отзыва;

— подпись субъекта персональных данных.

Источник: https://www.miloserdie.ru/article/nko-personalnye-dannye-10-sovetov-yurista/

Персональные данные: что грозит за нарушение закона

Номер телефона персональные данные

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2018 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2018 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2018 года

Номер телефона персональные данные

Что такое персональные данные?
Как избежать претензий со стороны контролирующих органов и сотрудников
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Ответственность за нарушение закона 152-ФЗ
ТОП-5 нарушений, за которые штрафуют компании и руководителей

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных». За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ. от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется) от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.) от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение. от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д. от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2018-god/

Как собирать персональные данные и отправлять рассылки об акциях

Номер телефона персональные данные

Владелец бизнеса стремится сохранить нынешних клиентов. Чтобы покупатели не уходили навсегда и возвращались чаще, с ними нужно поддерживать контакт — рассказывать о новых предложениях, об акциях и скидках.

Донести эту информацию до клиента получится, только если он оставил номер телефона, адрес электронной почты, ссылку на аккаунты в соцсетях. Все это персональные данные.

Разберемся, как получить контакты пользователя, законно использовать их и хранить.

  1. Не обрабатывайте персональные данные без согласия клиентов.

  2. Ничего им не отправляйте без их согласия.

  3. Попросите клиентов заполнить анкету, чтобы получить это согласие.

  4. Храните заполненные анкеты.

  5. Ваш клиент в любой момент может отозвать свое согласие. В этом случае отпишите его от рассылок и удалите его персональные данные.

  6. Клиенты соглашаются на использование данных только в тех целях, которые указаны в анкете. Использовать их с другой целью — незаконно.

Какие законы регламентируют рассылки рекламных предложений клиентам

Как собирать, хранить и использовать контакты вашей аудитории.Федеральный закон № 152-Ф3 «О персональных данных»

Что запрещено рекламировать, какие рекламные сообщения запрещено транслировать. Проморассылки тоже считаются рекламой, и на них действуют те же ограничения, что и на другие форматы.Федеральный закон № 38-Ф3 «О рекламе»

Для смс-рассылок существуют дополнительные требования.Федеральный закон № 126-Ф3 «О связи»

Что относится к персональным данным

В законе нет четкого списка, что считать персональными данными. Если по данным можно идентифицировать физическое лицо — это персональные данные. В спорных ситуациях решение принимает суд.

Вы имеете дело с персональными данными, если собираете о клиентах следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • домашний адрес и адрес регистрации;
  • номер телефона;
  • электронная почта;

Обработкой персональных данных считается любое действие с этими данными, включая сбор, хранение и использование.

Как избежать штрафов

Не используйте персональные данные без предварительного согласия.

Сбор данных организуют с какой-то конкретной целью, и незаконно использовать эти данные с любой другой целью. Например, если покупатель оставил вам телефон для получения электронной копии чека по смс, вы не можете слать ему сообщения с рекламой магазина.

Для каждого покупателя, чьи контакты вы получили, у вас должно быть письменное согласие на обработку персональных данных. В случае судебных разбирательств, именно вы должны будете доказать, что получили согласие. Главным аргументом в защиту организатора рассылки станет анкета, собственноручно заполненная покупателем.

Согласие на обработку персональных данных
Типовая анкета с согласием на получение рекламных рассылок и оповещений о проводимых акциях, мероприятиях, скидках, их результатах. Храните заполненные анкеты и не позволяйте им оказаться в чужих руках.

Что отвечать клиентам про обработку их данных

Если ваши клиенты интересуются, как используются их данные, вы обязаны ответить. По закону вы не можете скрывать от клиента факт обработки его персональных данных, цель и способ обработки. Вы обязаны рассказать, какие сотрудники и сервисы имеют доступ к его данным.

Ограничения при рассылке рекламы

  • Реклама не должна содержать ложной информации;
  • недопустимы некорректные сравнения с товарами конкурентов;
  • порочить честь, достоинство или деловую репутацию;
  • побуждать к совершению противоправных действий;
  • призывать к насилию и жестокости;
  • формировать негативное отношение к лицам, не пользующимся рекламируемыми товарами, или осуждать таких лиц;
  • содержать информацию порнографического характера;
  • использовать иностранных слова и выражения, которые могут привести к искажению смысла информации;
  • указывать на одобрение рекламируемого товара чиновниками или государственными органами;

По требованию клиента или уполномоченного органа рассылка прекращается.

Запрещено рекламировать

  • табачные изделия и курительные принадлежности;
  • наркотические, психотропные вещества и растения, которые их содержат;
  • взрывчатые вещества, кроме пиротехники;
  • медицинские услуги по аборту;
  • человеческие органы и части тела в качестве товаров;
  • товары, для продажи которых требуется сертификация, лицензирование и разрешение, если нет соответствующих сертификатов, лицензий, разрешений.

Ограничения при смс-рассылке

Нельзя отправлять смс-рассылку без предварительного согласия абонента. Он должен отдельно обозначить согласие на получение сообщений на телефон. В нашей анкете мы учли эту тонкость.

Рассылка по сети подвижной радиотелефонной связи должна осуществляться при условии получения предварительного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.

Рассылка признается осуществленной без предварительного согласия абонента, если заказчик рассылки в случае осуществления рассылки по его инициативе или оператор подвижной радиотелефонной связи в случае осуществления рассылки по инициативе оператора подвижной радиотелефонной связи не докажет, что такое согласие было получено.

Федеральный закон № 126-Ф3 «О связи»,
статья 44.1. Рассылка по сети подвижной радиотелефонной связи

Штрафы

По статье 13.11 КоАП РФ за нарушение закона «О персональных данных»

Нарушение закона «О персональных данных» или обработка персональных данных с любой целью, кроме заявленной, если действия не нарушают Уголовный кодекс:

  • предупреждение;
  • от 1000 до 3000 ₽ для граждан;
  • от 5000 до 10 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 30 000 до 50 000 ₽ для организаций.

Обработка персональных данных без письменного согласия или если письменное согласие не содержит необходимых по закону сведений:

  • от 3000 до 5000 ₽ для граждан;
  • от 10 000 до 20 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 15 000 до 75 000 ₽ для организаций.

Не опубликован документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных:

  • предупреждение;
  • от 700 до 1500 ₽ для граждан;
  • от 5000 до 10 000 ₽ для ИП;
  • от 3000 до 6000 ₽ для ответственных сотрудников или руководителя организации;
  • от 15 000 до 30 000 ₽ для организаций.

Если не предоставили клиенту информацию об обработке его персональных данных:

  • предупреждение;
  • от 1000 до 2000 ₽ для граждан;
  • от 10 000 до 15 000 ₽ для ИП;
  • от 4000 до 6000 ₽ для ответственных сотрудников или руководителя организации;
  • от 20 000 до 40 000 ₽ для организаций.

Если по требованию клиента или гос. органа данные не уточнили, не заблокировали или не удалили:

  • предупреждение;
  • от 1000 до 2000 ₽ для граждан;
  • от 10 000 до 20 000 ₽ для ИП;
  • от 4000 до 10 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 25 000 до 45 000 ₽ для организаций.

Если персональные данные попали в чужие руки или оказались уничтожены, повреждены или изменены, если это не привело к уголовно наказуемому деянию:

  • от 700 до 2000 ₽ для граждан;
  • от 10 000 до 20 000 ₽ для ИП;
  • от 4000 до 10 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 25 000 до 50 000 ₽ для организаций.

Штраф по статье 14.3 КоАП РФ за нарушение закона «О рекламе»

  • от 2000 до 2500 ₽ для граждан;
  • от 4000 до 20 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 100 000 до 500 000 ₽ для организаций.

Штрафов избежать несложно — достаточно придерживаться нескольких правил: не храните данные без ведома и согласия ваших покупателей, не отправляйте им рекламу без разрешения.

Разрешение нужно получить в письменной форме и хранить от третьих лиц. Если вы придумали новый способ использовать эти данные, придется заново спрашивать разрешения.

Если вас попросили удалить данные — удалите их и прекратите рассылку.

Источник: https://dreamkas.ru/blog/personal_information/

Передача номера телефона третьим лицам нарушение закона о персональных данных

Номер телефона персональные данные

Терентьев Богдан

Плюс, если этот номер закреплен за конкретным физическим лицом по договору с оператором связи, то говорить об обезличенности набора цифр вовсе не приходится. И действительно, согласно ст.

3 Закона, персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), то есть его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в связи с чем можно сделать вывод, что номер мобильного телефона также является персональными данными. Кроме того, ст.

Является ли номер телефона персональными данными

Штраф от 100 тыс. до 300 тыс. руб.

, либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительные работы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет или без такового), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет (с лишением права занимать определенные должности на срок до шести лет) Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан Штраф до 200 тыс.

Требования при передачи персональных данных третьим лицам

Внимание Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.pd.rkn.gov.ru и на сайте http://15.rkn.gov.ru в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме. Вопрос: После удаления своего аккаунта из социальной сети, информация о персональных данных все-равно там остается.

Ответственность за нарушение закона о персональных данных

ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных? Ответ: В соответствии ч.

1 ст. 22 Федерального закона от 27.07.2006 г.

Передача персональных данных третьим лицам

Борис Воронин: «Законопроект о коллекторах не попробовал написать только ленивый».Как нам жить между законом о банкротстве физических лиц и законом о коллекторском бизнесе, рассказал Bankir.

Ru директор Национальной ассоциации профессиональных коллекторских агентств (НАПКА) Борис Воронин. Кроме того, ксерокопирование документа, удостоверяющего личность, является банком -оператором данных, не может считаться обработкой персональных данных.

Об этом тоже неоднократно сообщал Роскомнадзор. Как взаимодействовать банкам и операторам мобильной связи в случаях замены владельцем номера сим-карты, смены номера телефона или проведении платежей.

Возникают вопросы о том, как взаимодействовать банкам и операторам мобильной связи в случаях замены владельцем номера сим-карты, смены номера телефона или проведении платежей при использовании подвижной связи.

Передача личных данных третьим лицам без согласия статья

  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 45 тыс. руб.

Часть 5 ст. 13.

11 КоАП РФ Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них Административный штраф:

  • на граждан – от 700 до 2 тыс. руб.;
  • на должностных лиц – от 4 тыс. до 10 тыс. руб.;
  • на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.;
  • на юридических лиц – от 25 тыс. до 50 тыс.
  • Правовые ресурсы
  • Подборки материалов
  • Передача персональных данных третьим лицам

Подборка наиболее важных документов по запросу Передача персональных данных третьим лицам (нормативно-правовые акты, формы, статьи, консультации экспертов и многое другое). Нормативные акты: Передача персональных данных третьим лицам Федеральный закон от 27.07.2006 N 152-ФЗ(ред. от 31.12.2018)»О персональных данных» 3.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).

  • Передача персональных данных третьим лицам без согласия субъекта персональных данных незаконна
  • Использование номеров телефонов даже в случае отсутствия дополнительных сведений об их владельцах также требует согласия.
  1. Является ли адрес электронной почты персональными данными
  2. Ответственность за нарушение федерального закона «О персональных данных»
  3. Является ли законным сбор персональных данных с сайтов объявлений или социальных сетей
  4. Законно ли создание общедоступных баз персональных данных?
  5. Кто имеет право осуществлять обработку персональных данных

Источник: http://alishavalenko.ru/peredacha-nomera-telefona-tretim-litsam-narushenie-zakona-o-personalnyh-dannyh/

Юрист онлайн