Сделанных субъектом персональных данных общедоступными. Понятие и виды персональных данных. Обязательные требования по защите информационных систем персональных данных

Размещая информацию о себе в социальных сетях, не все наши граждане понимают, что она может быть использована для составления их профиля. Сбором и обработкой такой информации активно занималось АО «Национальное бюро кредитных историй» («НБКИ»).

Арбитражный суд города Москвы в мае 2017 года рассмотрел дело № А40-5250/17, в котором суду пришлось оценивать правомочность обработки таких персональных данных.

Суть спора

В августе 2016 года Управлением Роскомнадзора по Центральному федеральному округу была проведена плановая выездная проверка АО «Национальное бюро кредитных историй» («НБКИ») в части соответствия деятельности по обработке персональных данных требованиям законодательства.

По результатам проверки был составлен акт проверки и выдано предписание об устранении выявленного нарушения.

Расценив предписание в части необходимости включения в уведомление уполномоченного органа данных физических лиц (клиентов либо потенциальных клиентов финансовой организации) из открытых источников информации, передаваемых финансовой организации, полученных с использованием сервиса Double Data Social Link - web-ссылка, результат поиска о клиенте либо потенциальном клиенте, и сервиса Double Data Social Attributes - обработка профиля искомого физического лица в открытых источниках информации (пункт 1), а также в части указания на нарушение требований закона в виде отсутствия согласия на обработку содержащихся в открытых источниках (социальных сетях: ВКонтакте, Одноклассними, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональных данных клиента либо потенциального клиента финансовой организации, в рамках оказания услуги на основании сервиса «big data» (т.е. «большие данные» ) - незаконным и нарушающим права и законные интересы общества в сфере предпринимательской и иной экономической деятельности, последнее обратилось с иском в арбитражный суд.

Позиция Арбитражного суда города Москвы

Применительно к настоящему делу, суд отметил, что обработка персональных данных допускается в частности в следующих случаях:

• Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его персональных данных (п. 1 ч. 1);
• Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными субъектом ПДн) (п. 10 ч. 1);

• Персональные данные доступны неопределенному кругу лиц;
• Персональные данные предоставлены непосредственно самим субъектом .

По мнению суда, персональные данные, сделанные общедоступными субъектом ПДн, могут содержаться только в общедоступных источниках ПДн.

Суд пришел к выводу о том, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к ПДн, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных ПДн применительно к положению ст.8 Закона.

Суд также отметил, что информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных (ст. 7 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Мой комментарий: Ну здесь суд слегка «загнул»; открытые данные - это совсем из другой оперы!

Суд сделал вывод о том, что персональные данные, обрабатываемые АО «НБКИ» в социальных сетях не были сделаны общедоступными субъектом ПДн в связи с чем в действиях заявителя усматриваются нарушения ч.3 ст.22 и п.1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Арбитражный суд отказал в полном объеме в удовлетворении заявления АО «НБКИ» о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО.

Позиция Девятого арбитражного апелляционного суда

Девятый арбитражный апелляционный суд июле 2017 года отметил, что общество внесено в реестр операторов, осуществляющих обработку персональных данных, под номером 08-0031682.

В рамках осуществления данного вида деятельности общество обрабатывает содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональные данные клиентов, потенциальных клиентов финансовых организаций. Согласие клиентов на обработку таких данных у общества отсутствует.

Общество считает, что обладает правом обработки персональных данных о лицах без их согласия. По мнению суда, обществом не учтено следующее.

По мнению апелляционного суда, не являются общедоступными обрабатываемые обществом персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру). По смыслу Закона о персональных данных, размещение персональных данных в указанных открытых источниках не делает их автоматически общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Девятый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда г. Москвы, а апелляционную жалобу – без удовлетворения.

Арбитражный суд Московского округа в ноябре 2017 года оставил без изменения, решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу без удовлетворения.

Позиция Верховного Суда Российской Федерации

Судья Верховного Суда Российской Федерации в январе 2018 года (определение № 305-КГ17-21291) отказала АО «Национальное бюро кредитных историй» в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ.

Мой комментарий: Обработка информации из социальных сетей – широко распространенный метод сбора и анализа информации о людях и организациях, и сбором такой информации о своих клиентах и контрагентах сейчас не занимается только ленивый. Суровая правда жизни в том, что тот, кто не проверяет таким образом своих потенциальных сотрудников, клиентов и контрагентов, на деле не проявляет должной деловой осмотрительности. Те, кто похитрее, стараются поменьше говорить на публику об этом, и по возможности не произносить слова «персональные данные».

Сбор информации о гражданах неизбежно влечёт за собой проблему законности таких действий, поскольку любая информации о гражданах является их персональными данными.

Отмечу, что какие бы предписания Роскомнадзор ни выдавал, если получение такой информации позволяет коммерческим организациям серьезно снизить риски финансовых потерь, обработка её все равно будет продолжаться. Ну разве что ещё немного подзаработают юристы, придумывающие правовое «прикрытие» для этой деятельности:)

В самом конце 2015 года автор этой статьи поучаствовал в обсуждении интересной темы, которая была посвящена необходимости создания единой общедоступной базы данных недобросовестных соискателей работы. Наша компания решила разобраться в этом вопросе.

Аргументация необходимости создания подобных баз проста – есть много не адекватных соискателей, которые не приходят на собеседования, врут в резюме и т.п., так почему бы не озаботиться созданием базы таких вот товарищей к всеобщей пользе всех HR.

Надо сказать, что идея не нова и, наверняка, ряд компаний имеют внутренние базы соискателей. С помощью таких баз кадровики отсеивают неподходящих кандидатов с самыми минимальными затратами времени. Если теоретически предположить, что в распоряжении всех HR страны может появиться такая база, то насколько было бы всем лучше. Ну, так ведь?

Нет, не так. Потенциальные выгоды могут легко перекрыться негативом, который неизбежно возникнет от неправомерного использования данных из базы, необоснованного включения/исключения людей в такие базы, ну и вопросов репутации, чести и достоинства включенных в базы людей.

С 2006 года в России действует федеральный закон «О персональных данных», который однозначно определяет условия, при которых такие базы могут существовать. Итак:

2. Статья 6 федерального закона «О персональных данных» определяет, что «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных».

3. Статья 7 федерального закона «О персональных данных» определяет, что «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.»

4. Статья 8 федерального закона «О персональных данных» определяет, что: «1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

5. И наконец, статья 13.11. Кодекса Российской Федерации об административных нарушениях, определяет, что «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.»

Другими словами и короче:

1. Любые данные, относящиеся к физическому лицу (включая просто номер телефона), являются персональными.

2. На обработку персональных данных нужно получить согласие, которое можно в любой момент отозвать.

3. Если у кого-то есть законный доступ к персональным данным, то их запрещено раскрывать кому-либо или делиться с кем-либо без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

5. За нарушение установленного порядка сбора и хранения персональных данных предусмотрена ответственность .

Вывод

Вывод очень простой и понятный – создание единой общедоступной базы нерадивых соискателей работы возможно только с письменного согласия этих самых нерадивых работников, что, естественно, сводит к нулю вероятность законного создания такой базы. Тем, кто все же решит такие базы создавать и делиться ими с товарищами, наша компания рекомендует ознакомиться с действующими в данный момент наказаниями.

Статья 8. Общедоступные источники персональных данных

Комментарий к статье 8

1. Комментируемая статья посвящена так называемым общедоступным источникам персональных данных, которые доступны неопределенному кругу лиц. К таким источникам относятся, в частности, справочники (например, лиц, проживающих в многоквартирном доме; работников оператора и т.п.) или адресные книги. При этом нормы этой статьи распространяются лишь на те общедоступные источники, которые создаются по инициативе оператора, а не в рамках исполнения им требований законодательства о раскрытии или опубликовании определенной информации (п. 11 ч. 1 ст. 6 Закона о персональных данных). Таким образом, она не касается сведений, содержащихся в ЕГРЮЛ, а также в иных реестрах, формируемых в соответствии с законодательством РФ (Постановление Президиума Нижегородского областного суда от 6 июля 2016 г. по делу N 44г-49/2016; Апелляционное определение Тамбовского областного суда от 15 февраля 2016 г. по делу N 33-500/2016). Режим использования и изменения информации, содержащейся в этих сведениях, определяется требованиями законодательства и основан на принципе открытости и достоверности данных, хранящихся в государственных информационных системах. Так, в соответствии с ч. 9 ст. 14 Закона об информации государственные органы обязаны обеспечить достоверность и актуальность информации, содержащейся в государственной информационной системе, доступ к указанной информации в случаях и в порядке, которые предусмотрены законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
2. Положения, содержащиеся в комментируемой статье, следует отличать от норм п. 10 ч. 1 ст. 6 и п. 2 ч. 2 ст. 10 Закона о персональных данных, устанавливающих основания для обработки персональных данных в отсутствие согласия субъекта. В первом случае речь идет об условиях правомерности первичного распространения оператором персональных данных и придания им статуса общедоступных, во втором случае - об обработке заинтересованными лицами персональных данных, которые уже являются общедоступными, в том числе пользователями таких общедоступных источников.
3. Формат и состав данных, включаемых в общедоступные источники персональных данных, определяются оператором. При этом такие персональные данные, как фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, могут включаться в общедоступные источники исходя из имеющихся у оператора данных, а источником иных видов персональных данных может выступать лишь сам субъект, на что недвусмысленно указывает слово "сообщаемые".
4. Главным условием создания и использования оператором общедоступного источника персональных данных является получение согласия на это от каждого субъекта, персональные данные которого в такой источник включаются. При этом Закон не делает никаких исключений из указанных положений, в связи с чем включение оператором персональных данных, которые уже были сделаны общедоступными с согласия их субъекта ранее, в создаваемый таким оператором источник общедоступных данных все равно требует согласия субъекта. Во многом это связано с тем, что создание баз данных, содержащих персональные данные, уже само по себе несет определенные риски для их субъектов, в связи с чем должно быть ими санкционировано. Такое согласие должно отвечать требованиям, установленным в ст. 9 Закона о персональных данных.
5. В соответствии с ч. 2 комментируемой статьи оператор общедоступного источника персональных данных обязан исключить сведения о субъекте на основании заявления такого субъекта, решения суда или требования уполномоченного органа (например, прокуратуры или Роскомнадзора). Рассматриваемая норма не устанавливает срок, в течение которого оператор должен удалить сведения, представляющие собой персональные данные, в связи с чем думается, что здесь применимы положения ч. 1 ст. 21 Закона о персональных данных, в силу которых оператор должен заблокировать доступ к таким данным с момента обращения их субъекта, т.е. незамедлительно. В результате указанных действий данные перестают быть доступными третьим лицам и утрачивают статус общедоступных данных, в том числе для целей применения положения п. 10 ч. 1 ст. 6 Закона о персональных данных о допустимости обработки таких данных без согласия субъекта. Отказ оператора в удовлетворении требований субъекта персональных данных об исключении его данных из общедоступного источника в порядке ч. 2 ст. 8 Закона о персональных данных дает право субъекту обжаловать данный отказ или бездействие оператора в Роскомнадзор или в судебном порядке (см. комментарий к ст. 17 настоящего Закона).
6. Европейское законодательство содержит положения, регламентирующие справочники абонентов (directories of subscribers) . В соответствии со ст. 12 Директивы 2002/58/EC о защите частной жизни в сфере телекоммуникаций устанавливаются следующие требования:
- субъекты персональных данных должны быть бесплатно извещены о планируемом включении их данных в такого рода справочники с описанием механизма поиска в этих справочниках;
- субъектам персональных данных должна быть предоставлена возможность внесения исправлений в сведения о них, содержащиеся в таких справочниках;
- в случае использования таких справочников для целей, отличных от поиска обычной контактной информации, необходимо получение согласия субъекта персональных данных.
Национальные законодательства могут устанавливать более жесткие требования, предъявляемые к операторам при создании такого рода справочников.

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Консультации юриста по ст. 8 Закона О персональных данных

Роман Мавров

Вопрос к практикующим юристам по гражданскому судопроизводству. Некий, очень распространенный телефонный справочник, напечатал у себя ложную информацию. Ухитрившись дать мой мобильный номер (номер прямой, с городским кодом) , как номер промышленного предприятия. Теперь мне постоянно звонят и круглосуточно пытаются присылать факсы. Информацию в новых изданиях исправили, но старые справочники и CD с информационными программами продолжают использоваться. Сразу говорю, тариф у меня безлимитный и финансовых притензий не предъявить, только моральные.. . Есть ли возможность, что-либо отсудить у компании-издательства?

• Ответ юриста:

  Возможность есть.ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ"О ПЕРСОНАЛЬНЫХ ДАННЫХ" Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;3) цель обработки персональных данных;4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;6) срок, в течение которого действует согласие, а также порядок его отзыва.5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.Статья 24. Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Инна Антонова

несет ли. ответственность и какую, человек, который публикует паспортные данные в интернете в каком-либо сообществе, например типа LJ ru_avto ,

• Ответ юриста:

  паспортные данные являются персональными данными человека и подлежат охранеФЗ "О персональных данных" Статья 7. 1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.2. Обеспечения конфиденциальности персональных данных не требуется:1) в случае обезличивания персональных данных;2) в отношении общедоступных персональных данных.КоАП: Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.

Сергей Редриков

Как я могу защитить себя юридически?. У меня большая проблема. Я обнаружила на icq.com анкету, зеркально соответствующую своей анкете. В ней полностью скопированы мои данные, использована моя фотография. От моего имени рассылается информация, обнародующая мои личные данные (мобильный тел, адрес) против моей воли на web-страницах других людей. Что мне делать и как я могу защитить себя юридически? Как можно выяснить, кто конкретно создал страницу и могу ли я привлечь его к ответу через суд? Заранее благодарю за любую консультацию.

• Обратитесь к администрации сайта где размешена "проблемная" анкета с указанной проблемой и укажите на то, что Вы уже создали ранее анкету и что там использованы Ваши данные

Владимир Хомишин

Он-лайн база ГИБДД: какие нормы права нарушены?. http://www.nomer.org/mosgibdd/ Нарушены ли при размещении базы на данном сайте какие-либо нормы права и если нарушены, то какие именно?

• Ответ юриста:

  В базе я узнал дату рождения, дом. адрес, телефон, даты регистрационных действий и их вид, марку, год выпуска и госномера авто.. .Значится так.Согласно вышеприведенному закону о Персданных эта база как раз и содержит персональные данные, обработка которых допустима либо с согласия, либо на основании закона (другие основания не рассматриваю) , допустим есть закон, позволяющий обрабатывать эти данные, однако, в любом случае должна быть соблюдена конфиденциальность, т. е. публикация запрещена, за исключением: обезличенных персданных и общедоступных, которые, в свою очередь, таковыми могут стать только с письменного согласия, которое еще и не должно быть отозванным (статьи 7,8,9 Закона) .В данном случае оператор (предположим, что на законном основании обрабатывающий персданные) прокакал их и допустил утечку (чать 1 ст. 17), значит: Статья 17. Право на обжалование действий или бездействия оператора 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке (не так уж много законов прямо предусматривают это) .Далее:Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.Обрати внимание на последовательность!! !Про гражданскую я сказал, уголовная - это вроде как 137 УК (могу ошибиться) , административка - это ст. 13.11 КоАП - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. (ерунда вобщем) дисциплинарка - вообще не интересна.ВСЁ!З. Ы. меня слово "иную" умилило))) моральную ответственность что ли собираются в законе предусмотреть?

Инна Романова

Помогите организовать благотворительный фонд для детей!. очень хочется узнать пошаговую процедуру и подводные камни при организации благотворительного фонда для детей сирот

• Ответ юриста:

• Григорий Пашовкин

  Что за новая база у медиков? Подсовывали бумажку на согласие о внесении (не согласие на операцию)

  • Скорее всего это внесение в базу ваших ПДн(может в частности биометрических данных),это была внутренняя форма хаведения для урегулированния вопроса с хранением и использованием ваших ПДн.

Зинаида Ефимова

уведомление об обработке персональных данных должны заполнять все юридические лица? для чего? и какие последствия?. а если у предприятия четыре лицензии на разные виды деятельности, то нужно подавать четыре уведомления или как?

• Ответ юриста:

• Юрий Касумов

  что такое "общедоступные персональные данные" ?

  • Ответ юриста:

    См. сам закон: от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных" Статья 3. Основные понятия, используемые в настоящем Федеральном законе В целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ; ... Статья 6. Условия обработки персональных данных 1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: ... 10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных) ; ... Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ) ... Статья 22. Уведомление об обработке персональных данных ... 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 4) сделанных субъектом персональных данных общедоступными; (п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ) 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; ... И это всё, что нашла. Если здесь в сети я заявляю, что мне 6-ой десяток, то это информация сделанная мною общедоступной, поскольку сюда может заглянуть любой. Но назвать это общеизвестным нельзя, поскольку каждый не обязан это знать. А то, что Александр Сергеевич Пушкин - автор "Евгения Онегина", для русскоязычного и общедоступно, и общеизвестно, и является персональными данными вполне определенного человека. По закону "ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ" от 27 июля 2006 года N 149-ФЗ (персональные данные - частный случай информации!) Статья 7. Общедоступная информация 1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. 2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. 3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. Статья 8. Право на доступ к информации... 4. Не может быть ограничен доступ к: ... 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну) ; !!! А в этом пункте имеется в виду и ФИО должностных лиц гос органов и органов местного самоуправления, т. е. всех чиновников. Я так думаю.

Диана Путина

Вопрос по трудовому законодательству. Ув. товарищигоспода юристыспециалисты (без сарказма) проясните пожалуйста следующий вопрос. Сегодня на работе произошел вот какой инцидент: Перед обеденным перерывом подошел к руководителю(у непосредственного начальника выходной да и с ним подобных эксцессов у меня не возникало никогда) и сказал что сегодня мне нужно уйти на обед (хожу редко, в перерыв предпочитаю работать) Далее следует вот такой диалог с участием тёх лиц (Я, Руководитель и Логист,которая вечно лезет не в своё дело.) Р:На обед? Я:Да, а что Р.,Л.:А почему с собой не носишь? Я.:А зачем, мне до дома 5 минут ходьбы Л.:Ну и что, нам(кому нам не понятно)тоже, но мы же с собой носим (какое мне до вас дело,хоть не ходите на работу, мне на вас ПОХЕР) Л.:У НАС СКЛАДСКИМ ЗАПРЕЩЕНО НА ОБЕД ДОМОЙ ХОДИТЬ Р: ДА ДЕЙСТВИТЕЛЬНО Я:Что значит запрещёно у меня в тр. договоре написано ОБЕД С 12-30 ДО 13-30 ,это моё личное время и мне решать как им распоряжаться, да и по закону....В ОБЩЕМ СУТЬ ВОПРОСА ТАКОВА: ЧТО ЗА БРЕД, ЗАПРЕТ УХОДИТЬ НА ОБЕДЕННЫЙ ПЕРЕРЫВ. у нас не какой-нибудь там завод по производству ядерных боеголовок и даже не ограночный цех на ювелирном заводе, А ОБЫЧНАЯ БАЗА ПО ТОРГОВЛЕ СТРОЙМАТЕРИАЛАМИ. Поясните пожалуйста, по возможности со статьями ТК РФ Заранее благодарен!

• Ответ юриста:

  Действия неправомерны, регулирует перерывы для отдыха и питания. ч. 1 В течение рабочего дня (смены) работнику должен быть предоставлен перерыв для отдыха и питания продолжительностью не более двух часов и не менее 30 минут, который в рабочее время не включается. ч. 2 Время предоставления перерыва и его конкретная продолжительность устанавливаются правилами внутреннего трудового распорядка или по соглашению между работником и работодателем. Только часть 3 определяет, что на работах, где по условиям производства (работы) предоставление перерыва для отдыха и питания невозможно, работодатель обязан обеспечить работнику возможность отдыха и приема пищи в рабочее время. Перечень таких работ, а также места для отдыха и приема пищи устанавливаются правилами внутреннего трудового распорядка. Условяи производства это например конвейер или доменная печь и иное непрерывное производство

• http://minfin.com.ua/blogs/IgorZabuta/19619/

Константин Савостин

согласие на сбор и обработку персональных данных в школе.Украина. Подписывать не хочу. Как поступить И чем мотивировать свой отказ. Чувствую что будут давить-на какие законы ссылаться. Помогите

• Ответ юриста:

  Сам Закон Украины "О защите персональных данных" () не обязывает Вас давать согласие на сбор и обработку Ваших данных.
  П. п. 5, 6 ст. 6 Закона обязывают владельца базы персональных данных осуществлять обработку данных в объемах и в целях, определенных в соглашении с Вами и только с Вашего согласия.
  Также, согласно п. п. 2 п. 2 ст. 8 Закона, Вы имеете право требовать информацию об условиях доступа к данным, а также информацию о третьих лицах, имеющих доступ к базе данных.
  Кроме того, согласно п. п. 1 п. 1 ст. 11 Закона, с свое соглашение Вы можете внести требование об ограничении права на обработку своих данных. Например, согласно п. 1 ст. 16 Закона, Вы имеете право определить порядок доступа третьих лиц к Вашим данным. А, согласно п. 1 ст. 21 Закона, владелец базы данных обязан уведомлять Вас о передачи Вашей информации третьим лицам, если этого требуют условия соглашения.
  Помните, согласно ст. ст. 6, 627 Гражданского кодекса Украины ([ссылка заблокирована по решению администрации проекта]), договорные отношения в Украине являются свободными.

Наталья Белова

кадровикам Украины: нужно ли при приеме на работу брать заявление о согласии на использовании персональных даных?

• Ответ юриста:

  Безусловно, согласно п. п. 5, 6 ст. 6 Закона Украины "О защите персональных данных" от 01.06.2010 года № 2297-VI ([ссылка заблокирована по решению администрации проекта]).
  Более того, согласно п. п. 2 п. 2 ст. 8 Закона, работник имеет право требовать информацию об условиях доступа к данным, а также информацию о третьих лицах, имеющих доступ к базе данных.

Артур Эфиров

Имеет ли право работодатель узнать в милиции о ваших административных нарушениях. Желательно напишите какая статья

• Ответ юриста:

  Не, есть конкретный вопрос: "Имеет ли право работодатель узнать в милиции... ", а не где можно узнать. При этом не обязательно чтобы по административному еделу было бы исполнительное производство или задолженность. Конкретный ответ: Федеральный закон "О полиции" от 7 февраля 2011 г. N 3-ФЗ: Статья 17. Формирование и ведение банков данных о гражданах 1. Полиция имеет право обрабатывать данные о гражданах, необходимые для выполнения возложенных на нее обязанностей, с последующим внесением полученной информации в банки данных о гражданах (далее - банки данных) . Внесению в банки данных подлежит информация: ....8) о лицах, совершивших административное правонарушение; ....Здесь же: 7. Обработка персональных данных осуществляется в соответствии с требованиями, установленными законодательством Российской Федерации в области персональных данных. Т. е. , смотрим Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" В статье 3 указано, что 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ; ... 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций) , совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) , извлечение, использование, передачу (распространение, предоставление, доступ) , обезличивание, блокирование, удаление, уничтожение персональных данных; Статья 6 того же закона содержит условия обработки персональных данных, которые указывают, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Остальные условия вроде как не подходят. Отсюда вывод: 1. Вопрос задан некорректно. Работодателю (юр. лицу, физ. лицу) никаким законом не запрещено обращаться с письменными заявлениями в гос. органы и иные органы, юр. лицам, физ. лицам. Другой вопрос, имеют ли право полиция выдввать такую информацию? Ответ: Если Вы давали работодателю согласие на обработку своих персональных данных, то формально он вправе получить (или требовать-как хотите) от полиции такие сведения о Вас. В противном случае - не имеет. При отсутствии такого согласия органы МВД не должны выдавать такие сведения в силу вышеуказанной ст. 17 "О полиции". Данное условие применимо, если Вы состоите в трудовых отношениях с работодателем, а не только устраиваетесь на работу, если при постановке вопроса вы не перепутали эти понятия.

• Статья 7. Конфиденциальность персональных данных 1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность такихданных, за исключением случаев, предусмотренных частью 2 настоящей...

Маргарита Сергеева

Если мой адрес вместе с ФИО в сети, что я могу сделать? В суд подать? Так документ о задолжности. перед Жэу ХЗ в каком лохматом году. А как убрать это оттуда я не знаю. Мои личные данные в сети! Жесть! Если в суд подать данные уберут?

• Ответ юриста:

  Лучше напишите жалобу в Роскомнадзор. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" Статья 7. Конфиденциальность персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Статья 8. 1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги) . В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных 1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. Статья 17.

Роскомнадзор выявил нарушения в части соответствия деятельности по обработке персональных данных требованиям законодательства по результатам плановой выездной проверки одного из бюро кредитных историй. Эти результаты бюро попыталось оспорить в Арбитражном суде города Москвы (решение Арбитражного суда города Москвы от 5 мая 2017 года по делу № А40-5250/17-144-51).

Суть выявленных Роскомнадзором нарушений заключалась в следующем:

• финансовая организация не представила уведомление в уполномоченный орган об использовании сервисов Double Data Social Link и Double Data Social Attributes, которые передавали финансовой организации данные физических лиц или потенциальных клиентов из открытых источников информации ( , далее – Закона № 152-ФЗ);
• отсутствовало согласие на обработку персональных данных, содержащихся в открытых источниках – в социальных сетях и на интернет-порталах ().

Арбитражный суд города Москвы определил, что обработка персональных данных допускается в случаях, когда персональные данные доступны неопределенному кругу лиц, имеется согласие владельца данных и сведения предоставлены непосредственно самим субъектом ( , ).

Суд подчеркнул, что без письменного согласия субъекта персональных данных нельзя утверждать о предоставлении согласия именно указанным лицом. По его мнению, если владелец сделал персональные данные общедоступными для всех, то они могут содержаться только в общедоступных источниках (). По мнению суда, соцсети не являются такими источниками получения персональных данных, соответственно информация о лице, размещенная в них, не может быть отнесена к общедоступной.

В решении арбитража указано, что в общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные их владельца с его письменного согласия и сообщаемые им самим. Суд пришел к выводу, что владельцы персональных данных не сделали сведения общедоступными, которые обрабатывались бюро кредитных историй в социальных сетях ( , ). В связи с чем суд признал предписание Роскомнадзора законным и отказал финансовому учреждению в удовлетворении исковых требований.

Можно ли привлечь к ответственности компанию за использование изображения физического лица без его согласия, если она обнародовала фотографии сотрудников в социальные сети? Ответ на этот и другие практические вопросы – в "Базе знаний службы Правового консалтинга" в интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!

Суд апелляционной инстанции согласился с выводами нижестоящего суда, подчеркнув, что размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации (постановление Девятого арбитражного апелляционного суда от 27 июля 2017 года по делу № А40-5250/17). Суд кассационной инстанции и Верховный Суд Российской Федерации встали на сторону Роскомнадзора и не нашли оснований для отмены обжалуемых судебных актов (постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу № А40-5250/2017 , Определение ВС РФ от 29 января 2018 года по делу № 305-КГ17-21291).

Таким образом, суды решили, что персональные данные являются общедоступными при выполнении двух условий: они предоставлены владельцем и доступны неопределенному кругу лиц. По их мнению, из-за отсутствия согласия владельца персональных данных на размещение сведений о нем в соцсетях, нельзя их [соцсети] отнести к общедоступным источникам. При этом оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных, в случае его отзыва, только при наличии соответствующих оснований, например, для противодействия терроризму или коррупции ().

Ведущий юрист Европейской Юридической Службы Елена Держиева отметила, что по условиям пользовательского соглашения соцсети "Вконтакте" владелец персональных данных дает согласие только на доступ к информации, которую он размещает на своей странице, но не на обработку третьими лицами.