Утечки персональных данных из банка: насколько это опасно и как защитить себя

Алан-э-Дейл       20.11.2022 г.

Кодекс об административных правонарушениях

Кодекс об административных правонарушениях включает наказание по ст. 5.39 (отказ в предоставлении информации), 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)), 13.12 (нарушение правил защиты информации), 13.13 (незаконная деятельность в области защиты информации) и 13.14 (разглашение информации с ограниченным доступом).

Отказ в предоставлении информации (ст. 5.39) наиболее часто встречается в правоприменительной практике. Это связано не только с малыми сроками предоставления информации, но и прежде всего с отсутствием у оператора регламентов предоставления информации.

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации влекут наложение административного штрафа на должностных лиц в размере от 1 до 3 тысяч рублей.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11) напрямую указывает на необходимость соблюдения ФЗ-152 «О персональных данных». Санкциями за данные нарушения являются предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.

Ст. 13.12 «Нарушение правил защиты информации» содержит три обязательных признака, только при их наличии наступает ответственность по ст. 13.12:

  1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Это указывает на обязательность лицензирования деятельности по защите информации. Если лицензии отсутствуют, то отсутствуют и объективные признаки нарушения. Санкции по статье – это наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1 тысячи рублей; на юридических лиц – от 5 до 10 тысяч рублей.
  2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации. Санкции в этом случае – наложение административного штрафа на граждан в размере от 500 до 1 тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1 до 2 тысяч рублей; на юридических лиц – от 10 до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. То есть, если при проверке окажется, что в системе защиты используются несерти-фицированные средства, они могут быть конфискованы.
  3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Это условие рассмотрим более подробно во второй части статьи, которая будет опубликована в журнале «Информационная безопасность» № 4.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

  Конклюдентное согласие Согласие в письменной форме Иные формы согласия
+ Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Что такое персональные данные по закону?

Персональные данные — информация, относящаяся к идентификации физического лица, который выступает в роли субъекта. Персональные данные обрабатываются без нарушения законодательства. Основным законом, регулирующим защиту личных сведений, является Федеральный закон №152 «О персональных данных», который был принят 8 июля 2006 года, а одобрен 14 июля того же года. Также в это время вносились корректировки в ФЗ 152. Подробнее об этом тут:

Основные положения закона:

Ст 2

В статье 2 описываются цели настоящего Федерального закона. Основная цель — обеспечение сохранности прав и свобод гражданина РФ и человека без гражданства или с иностранным гражданством в случае обработки его личной информации. Это касается и неприкосновенности частной, личной и семейной жизни.

Ст 5

В статье 5 описываются основные принципы, на основе которых персональные данные будут обработаны. Личная информация обрабатывается и сортируется на законных основаниях. Обработка осуществляется лишь в конкретных и законных целях. Если цели обработки не совместимы с действительностью, это действие запрещается законом.

Личные данные хранятся до момента, пока субъект не будет определен, но не дольше. Затем сведения уничтожаются или ликвидируются.

Ст 6

В статье 6 перечисляются условия по обработке персональных данных. Их обработка осуществляется в связи с:

  • гражданским;
  • конституционным;
  • административным;
  • уголовным судопроизводством.

Информацию можно обрабатывать при исполнении определенных действий федеральных органов исполнительной власти. Обработка сведений требуется для исполнения договора, стороной которого является субъект персональных данных или по которому субъект будет являться поручителем или выгодоприобретателем.

Также читайте: ФЗ 116 в последней редакции. Подробнее тут: 

Обработка персональных данных требуется для защиты здоровья, жизни и других важных интересов, если получить согласие гражданина не предоставляется возможным.

Ст 7

В статье 7 описывается конфиденциальность личной информации. Операторы или другие лица, которые получили личную информацию, обязаны ее использовать непосредственно для обслуживания этого клиента и не передавать третьим лицам, если другое не предусмотрено законодательством.

Ст 11

В статье 11 говорится о данных биометрического характера. Биометрическая информация может быть обработана только после письменного согласия гражданина или человека. Если действие происходит согласно международному договору РФ в связи с правосудием и исполнением судебных актов, согласие гражданина на обработку персональных данных не требуется.

Ст 13

Государственные и муниципальные органы используют свои должностные полномочия для создания информационной системы или информационной базы персональных данных. В муниципальных и государственных учреждениях могут быть учтены особенности обработки личных данных в информационных системах. Права и свободы человека и гражданина не ограничиваются при обработке персональных данных. Государственный реестр населения создается как раз для того, чтобы права субъектов личных данных в связи с их обработкой и сортировкой были соблюдены.

На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

4. Согласие в письменной форме может быть подписано электронной подписью

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»)

Ответственность за нарушение персональной тайны

Правонарушения, связанные с нарушением обработки персональных данных, до первого июля 2017 карались в виде административной и гражданско-правовой ответственности. Наказания были минимальными. В случае правонарушения накладывали штрафы за нарушение персональных данных в размере 1000 рублей для физического лица, и 10 000 руб. — для предприятия.

Теперь последствия за нарушение персональных данных намного серьезней. Нынешний вариант закона предусматривает следующие нарушения со стороны организаций:

  1. Отсутствие публикации, связанной с политикой обработки личной информации. Правонарушение карается штрафом в размере от пятнадцати до тридцати тысячи рублей.
  2. Обработка информации без получения письменного разрешения. В этом случае нарушителю сулит штраф от пятнадцати до семидесяти тысяч рублей.
  3. Обработка личной информации в случаях, когда она не предусмотрена законодательно. Размер штрафа составляет от тридцати до пятидесяти тысяч рублей.

Наказания за нарушение персональных данных различные. Нарушителя можно привлечь к административной, дисциплинарной или уголовной ответственности. С него также есть возможность взыскать средства в качестве компенсации за нанесенный моральный ущерб.

Главное, действовать решительно. Если права гражданина нарушены, необходимо решать проблему на законных основаниях. Существует эффективный инструментарий, чтобы наказать злоумышленника, разгласившего личную информацию.

Что такое персональные данные с точки зрения УК РФ

Согласно п. 1 ст. 3 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ персональными данными признается любая информация, так или иначе относящаяся к физическому лицу и позволяющая идентифицировать его. Иными словами, это может быть все что угодно — от фамилии человека до его антропометрических особенностей.

Указом Президента РФ от 06.03.1997 № 188 информация о частной жизни гражданина отнесена к сведениям конфиденциального характера, следовательно, разглашению и несанкционированному сбору не подлежит.

Таким образом, к понятию «частная жизнь», неприкосновенность которой охраняет ст. 137 УК РФ, можно отнести следующую информацию о человеке:

  • данные непосредственно о самой личности, включая реквизиты удостоверяющих документов, сведения о месте пребывания (проживания) человека и его жилище;
  • данные о родственниках и иных близких людях;
  • сведения, составляющие иную тайну, охраняемую законом (информацию о вкладах и счетах в кредитных организациях, об усыновлении, содержание телефонных переговоров, переписки (в том числе электронной), телеграфных сообщений, факт составления и содержание завещания и т. д.). 

Кроме того, в эту же категорию входят сведения, отнесенные к налоговой, адвокатской, врачебной тайне, информация, полученная в ходе исповеди (тайна исповеди). Интересную статью о категориях персональных данных предлагает к прочтению КонсультантПлюс. Оформить доступ к системе КонсультантПлюс можно бесплатно здесь.

Сбор таких сведений и тем более разглашение без согласия их носителя возможны только в случаях, прямо предусмотренных законом. Например, в рамках расследования или рассмотрения уголовного дела, в ходе исполнения судебного решения и т. д.

В иных ситуациях сбор и распространение данных о частной жизни есть прямое нарушение ст. 23–24 Конституции РФ. Лицо, допустившее такое нарушение, рискует подвергнуться уголовному преследованию. 

Чтобы случайно не разгласить чужие персональные данные, ознакомьтесь с порядком обработки персональных данных.

Важно! На разглашение некоторых сведений, отнесенных к тайне, могут распространяться иные, более узкие нормы УК РФ. Так, например, ответственность за нарушение тайны усыновления должностным лицом, обязанным сохранять ее конфиденциальность, наступает по ст

155 УК РФ. 

Чем регулируется

Федеральное законодательство:

  • «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
  • 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
    Особенно интересны цитаты:
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
  • «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

25.rsoc.ru

Что входит в сбор, хранение и обработку персональных данных

Имеется в виду данные, позволяющие идентифицировать личность. К ним не относятся сведения, подлежащие распространению в СМИ в случаях предусмотренных законодательством.

К личной информации причисляют:

  • имя, фамилию и отчество;
  • место проживания;
  • социальное и семейное положение;
  • род деятельности, служебное положение, уровень доходов;
  • дату и место рождения;
  • биометрические данные человека и т. д.

Это далеко не полный перечень сведений, которые причисляются к персональным. Данные, которые раскрывают частную жизнь человека попадают в рассматриваемую категорию. Тенденция четко свидетельствует о том, что перечень сведений, которые относят к персональным постоянно расширяется.

Есть прецеденты, когда личной информацией признавали IP-адрес, свидетельство о смерти, и фотографии человека. Поэтому к категории рассматриваемых сведений относится что угодно.

К обработке персональных данных относятся любые действия с ними. Речь идет о:

  • сборе;
  • записи;
  • систематизации;
  • хранении;
  • уточнении;
  • передаче;
  • уничтожении и т. д.

Положение об обработке персональных данных

Работодатель может получить все персональные данные сотрудника только от него самого. Учреждение не имеет права собирать информацию, которая не относится напрямую к работе персонала. Поэтому руководитель не должен заставлять сотрудников раскрывать сведения об их вероисповедании, политических пристрастиях, жилищных условиях и т. п. Все это относится к личной или семейной тайне гражданина (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 от 27 июля 2006 г. Закона № 152-ФЗ). Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии – бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Квалифицирующие признаки

В статье 137 УК РФ содержится 2 квалифицирующих признака, которые свидетельствуют об отягчающих преступление обстоятельствах.

В части 2 дается указание на ответственность специального субъекта преступления – должностного лица. Чтобы человек понес наказание, ему необходимо завладеть персональными данными и распространить их с использованием служебного положения или занимаемой должности. Например, адвокат или медицинский сотрудник является прямым носителем тайны и в силу закона не могут нарушать взятую на себя обязанность неразглашения персональных данных и прочих связанных с ними сведений.

Часть 3, наоборот, посвящена особой категории потерпевших – несовершеннолетним. Самая незащищенной группой граждан являются те, кто не достигли 16 лет. Охраной тайны сведений о них занимаются родители или прочие законные представители. Но в рамках судебного заседания может быть установлено, что причиненный распространением информации вред сказался и на близких родственниках ребенка (через сведения о ребёнке).

Для наступления ответственности должен быть соблюден специфический способ совершения преступления. Только публичное обнародование будет уголовно наказываться. С развитием информационно-телекоммуникационных сетей и распространения таких механизмов обмена информацией, как форумы и социальные сети, понятие публичности расширилось. Теперь не только СМИ или публичное выступление могут быть расценены как преступление (если в них содержалась персональная информация о каком-либо лице), но и сайты в интернете, доступ к которым имеет множество людей, не ограничивая при этом общение в рамках государственных границ (например, Одноклассники имеют единое интернет-пространство на территории России, Беларуси и Казахстана. Ранее доступ был и у жителей Украины).

Третий квалифицирующий признак части 3 указывает на необходимость наличия негативных последствий, которые могут выражаться:

  • в физическом вреде;
  • в моральных страданиях;
  • иных последствий, которые также являются тяжкими (здесь уместно говорить о последствиях, которые проявились на родителях ребенка).

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись

Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Примеры нарушений обработки ПДю

На примерах судебных решений рассмотрим случаи обработки ПД, содержащие состав нарушений, предусмотренных новой редакцией ст. 13.11 КоАП РФ.

Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу № 33-12355/2016: адвокат в рамках оказания юридических услуг, позвонил со своего телефонного номера в банк для получения информации по задолженности клиента, с которым был заключен договор. Впоследствии представители банка стали регулярно звонить адвокату по вопросу погашения задолженности, не реагируя на требования уничтожить его персональные данные. Суд первой инстанции, куда обратился адвокат с требованием об уничтожении персональных данных и взыскании компенсации морального вреда, счел действия представителей банка неправомерными. Апелляционный суд поддержал этот вывод.

Напомним, что использование ПД, в том числе с целью совершения адресных звонков абоненту, является одним из видов обработки ПД. Данная обработка производилась без согласия субъекта: это случай, не предусмотренный Законом о ПД (санкции по п. 1 ст. 13.11 КоАП РФ – штраф для должностного лица до 10 тыс. руб., для банка до 50 тыс. руб.).

Банк посчитал: поскольку персональные данные адвоката (в том числе номер его телефона) размещены в открытом доступе, то есть в Интернете, согласие на их обработку не требуется. Суд указал, что телефонный номер адвоката был размещен в Сети в целях оказания юридических услуг, в то время как банк воспользовался его персональными данными с другой целью, а именно с целью доведения до заемщика через адвоката информации в связи с задолженностью по кредиту, – санкции по п. 1 ст. 13.11 КоАП РФ.

Мы видим другое нарушение: в силу ч. 1 ст. 14 Закона о ПД субъект вправе требовать от оператора уничтожения его персональных данных в случае, если персональные данные являются незаконно полученными, а также принимать предусмотренные законом меры по защите своих прав. Банк не отреагировал на требование адвоката и продолжал использовать персональные данные субъекта, что может быть расценено как нарушение п. 5 ст. 13.11 КоАП РФ (штраф для должностного лица до 10 тыс. руб., для организации – до 45 тыс. руб.).

Постановление Волгоградского областного суда от 15.04.2011 по делу № 7а-391/11: при проверке колледжа прокуратурой было выявлено, что в организации отсутствуют документы об установлении мест хранения персональных данных, перечня мер, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним, не определен круг лиц, ответственных за реализацию вышеуказанных мер. Должностное лицо было оштрафовано на 500 руб. по ст. 13.11 КоАП РФ. По новым нормам это нарушение п. 6 ст. 13.11 КоАП РФ, предусматривающее штраф для должностных лиц до 10 тыс. руб., для организаций – до 50 тыс. руб.

Куда обращаться если ваши персональные данные были распространены без согласия

Чтобы наказать нарушителя, разгласившего личные сведения без вашего согласия, нужно написать жалобу о нарушении персональных данных в Роскомнадзор. Уполномоченный орган рассмотрит ее, и примет меры. Нарушитель будет наказан в соответствии с действующим законодательством Российской Федерации.

Дополнительно обратитесь в прокуратуру. Напишите заявление, в котором изложите обстоятельства случившегося. Желательно перед этим проконсультироваться с компетентным юристом, который поможет вам правильно написать заявление. Прокуратура рассмотрит обращение, и если в случившемся будет обнаружен состав преступления, виновные в разглашении ваших персональных сведений накажут.

Направить жалобу или заявление в соответствующие органы несложно. Это можно сделать либо по почте, либо через интернет, прямо на сайте органа надзора. Какой вариант выбрать решать вам. Мы рекомендуем направлять жалобы и заявления в письменном виде по почте в виде письма с уведомлением.

Гость форума
От: admin

Эта тема закрыта для публикации ответов.