Предоставление персональных данных
Предоставление персональных данных — это действия оператора (лица, организующего обработку персональных данных), направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц. Данное понятие является одним из ключевых в законодательстве о персональных данных и регулируется, в частности, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных). Предоставление отличается от распространения (раскрытия данных неопределённому кругу лиц) и от доступа (ознакомления с данными без их передачи).
Правовое регулирование
Правовой режим предоставления персональных данных в Российской Федерации строится на принципе конфиденциальности, за исключением случаев обезличивания данных или получения согласия субъекта. Оператор обязан соблюдать требования, установленные Законом о персональных данных, а также подзаконными актами (в частности, постановлениями Правительства РФ, приказами Роскомнадзора).
Основные нормативные акты, регулирующие предоставление персональных данных:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Трудовой кодекс РФ (в части передачи данных работников);
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Кодекс РФ об административных правонарушениях (устанавливает ответственность за нарушения).
Согласие субъекта на предоставление
Предоставление персональных данных третьим лицам по общему правилу возможно только при наличии согласия субъекта персональных данных. Согласие должно быть конкретным, информированным и сознательным. Оно оформляется в письменной форме (в том числе в электронном виде с использованием электронной подписи) или иным способом, позволяющим подтвердить факт его получения.
В согласии должны быть указаны:
- фамилия, имя, отчество субъекта;
- адрес электронной почты или почтовый адрес;
- наименование или фамилия, имя, отчество оператора;
- цель обработки персональных данных;
- перечень персональных данных, на предоставление которых даётся согласие;
- наименование или фамилия, имя, отчество третьего лица, которому предоставляются данные;
- срок действия согласия и способ его отзыва.
Случаи, когда согласие не требуется
Закон о персональных данных устанавливает ряд исключений, при которых предоставление персональных данных возможно без согласия субъекта. К таким случаям относятся:
- обработка данных на основании федерального закона (например, передача сведений в органы внутренних дел, налоговые органы, Росфинмониторинг);
- обработка данных для исполнения договора, стороной которого является субъект (например, передача данных курьерской службе для доставки товара);
- обработка данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия невозможно;
- обработка данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (например, данные государственных служащих, сведения о доходах кандидатов на выборные должности);
- обработка данных в статистических или иных исследовательских целях при условии обязательного обезличивания.
Обязанности оператора при предоставлении
Оператор, предоставляющий персональные данные, обязан:
- уведомить субъекта о передаче его данных третьему лицу (если это не предусмотрено законом);
- обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
- назначить ответственного за организацию обработки персональных данных;
- вести журнал учёта обращений субъектов персональных данных и журнал учёта запросов на предоставление данных.
Формы предоставления
Предоставление персональных данных может осуществляться в различных формах:
- Устная форма — сообщение данных по телефону, при личном общении (например, в колл-центре банка). Требует идентификации субъекта и фиксации факта передачи.
- Письменная форма — передача документов, содержащих персональные данные, по почте, курьером или лично. Часто сопровождается составлением акта приёма-передачи.
- Электронная форма — передача данных по каналам связи (электронная почта, системы электронного документооборота, API-интерфейсы). Требует использования средств криптографической защиты информации (СКЗИ) для обеспечения конфиденциальности.
- Автоматизированная форма — предоставление данных через информационные системы (например, портал «Госуслуги», личные кабинеты на сайтах организаций). Реализуется с помощью программных средств, обеспечивающих разграничение доступа.
Предоставление данных работников
В трудовых отношениях предоставление персональных данных работника регулируется главой 14 Трудового кодекса РФ. Работодатель вправе передавать данные работника третьим лицам только с его письменного согласия, за исключением случаев, предусмотренных федеральным законом. К таким исключениям относятся:
- передача данных в Пенсионный фонд РФ, Фонд социального страхования, налоговые органы;
- предоставление данных по запросу суда, прокуратуры, органов дознания и следствия;
- передача данных в целях предупреждения угрозы жизни и здоровью работника.
Работодатель также обязан уведомить работника о факте передачи его данных и о том, кому они были переданы.
Предоставление данных в государственные органы
Предоставление персональных данных государственным органам (МВД, ФСБ, ФНС, Роскомнадзор и др.) осуществляется на основании федеральных законов. Оператор обязан предоставить данные по мотивированному запросу уполномоченного органа. Запрос должен содержать:
- ссылку на нормативный правовой акт, являющийся основанием для запроса;
- цель получения персональных данных;
- перечень запрашиваемых данных;
- срок предоставления.
Отказ в предоставлении данных государственному органу может повлечь административную или уголовную ответственность (например, за невыполнение законных требований органа, осуществляющего оперативно-розыскную деятельность).
Ответственность за нарушение правил предоставления
Нарушение установленного порядка предоставления персональных данных влечёт за собой ответственность, предусмотренную Кодексом РФ об административных правонарушениях (КоАП РФ) и Уголовным кодексом РФ (УК РФ).
Основные составы административных правонарушений:
- обработка персональных данных без согласия субъекта (ст. 13.11 КоАП РФ) — штраф до 300 000 рублей для юридических лиц;
- невыполнение оператором обязанности по опубликованию или обеспечению неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных (ст. 13.11 КоАП РФ);
- нарушение требований о защите персональных данных (ст. 13.12 КоАП РФ).
Уголовная ответственность наступает за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну (ст. 137 УК РФ), а также за неправомерный доступ к компьютерной информации, содержащей персональные данные (ст. 272 УК РФ).
Особенности предоставления данных несовершеннолетних
Предоставление персональных данных несовершеннолетних (лиц, не достигших 18 лет) осуществляется с согласия их законных представителей (родителей, усыновителей, опекунов). Исключение составляют случаи, когда несовершеннолетний в соответствии с законом приобрёл дееспособность в полном объёме (вступление в брак, эмансипация). Согласие законного представителя должно быть оформлено в той же форме, что и согласие самого субъекта.
Международная передача данных
Передача персональных данных на территорию иностранных государств регулируется отдельными положениями Закона о персональных данных. До принятия решения о трансграничной передаче оператор обязан уведомить Роскомнадзор о своём намерении. Передача допускается в страны, обеспечивающие адекватную защиту прав субъектов (входящие в перечень, утверждённый Роскомнадзором), или при наличии согласия субъекта на такую передачу. В 2024 году вступили в силу изменения, ужесточающие требования к трансграничной передаче, в том числе в отношении стран, не входящих в перечень.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ.
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.
- Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ.
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →