Защита персональных данных в консалтинге Судя по затишью на форуме новогодние каникулы проходят отлично. Можно, конечно, списать это на спад деловой активности, но это не так - перед Новым годом многие форумчане жаловались на традиционное безумие клиентов, спешащих закрыть все вопросы. Во многом - из-за продолжительности этих самых новогодних каникул. Кстати, о клиентах. Они сообщают нам большое количество сведений, в том числе - персональные данные, которые, теоретически, следует защищать. И вообще к этому вопросу положено относится с придыханием, о чем мы и поговорим. А, собственно, о чем речь? Суть федерального закона "О персональных данных" достаточно тривиальна: персональные данные следует оберегать и собирать и распространять только с согласия физического лица, к которому эти данные относятся. Дальше начинается темный лес, заселенный кошмарами, фантазиями и другими порождениями сна бюрократического разума. Например, не очень понятно, что же такое персональные данные. В законе об этом есть крайне туманная формулировка, которая позволяет отнести к персональным данным любую информацию, которая позволяет идентифицировать физическое лицо: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу". Из этого дальше следуют такие же далеко идущие выводы о том, что, коль круг персональных данных не определен, то и обработкой может заниматься кто угодно, и оператором будет кто угодно. Вот так вот. Если вы считаете, что вы с законодателем на одной волне, и персональные данные тождественны паспортным, то спешу расстроить - это не так. Как следует, например, из определения от 20 июня 2012 г. N 33а-2704/2012 Ленинградского областного суда, персональные данные в рассматриваемом деле были выражены в виде ФИО и номера квартиры жильца (!). А что? Информация? Информация. Относится к определенному физическому лицу? Относится. Управляющая компания была оператором, нарушила закон. Уверен, за долгие годы вы уже хорошо усвоили - если в законе отсутствует внятное и полное определение термина, то его содержание может видоизменяться от суда к суду, от одного органа государственной власти к другому. Что значит обработка персональных данных? Практически всё. Как, например, в вышеуказанном деле, "персональные данные" в виде ФИО и номера квартиры были указаны на сайте. Собственно, это уже не только сбор, но и распространение, т.е. предоставление информации неопределенному кругу лиц. В целом, из определения закона следует, что к обработке данных относятся практически все действия, которые в этом мире могут происходить с информацией. Случаи трансляции откровений из астрала я намеренно не буду рассматривать как неосмотрительно упущенные законодателем. И абсолютно точно к обработке данных относится письмо от вашего клиента с вложением скана паспорта. Это сбор. А когда вы скан сложите в папку на диске C, D или сетевой диск, то это уже будет записью и систематизацией. И накоплением и хранением. Так-то. Есть достаточно резонные рассуждения о том, что закон писался для регулирования автоматизированного сбора и хранения информации о физических лицах, но закон гораздо шире. Где можно получить аусвайс? Итак, персональные данные окружают нас! Консалтинговые компании буквально дышат персональными данными. И, естественно, все мы вовлечены в безостановочную греховную обработку этих данных. Но законодатель в своей бесконечной мудрости указал, что персональные данные можно обрабатывать при наличии согласия физического лица и уведомления органа власти. Об уведомлении органа власти можно сразу же забыть, т.к. случай с клиентом, предоставляющим свои паспортные данные, подпадает под норму пункта 2 статьи 22 закона. Если же клиент предоставляет персональные данные о третьем лице, то это, разумеется, никуда не годится, т.к. нарушается ключевой принцип - наличие согласия. Исключения - пункты 3 и 4 статьи 18 закона (либо уже есть уведомление третьего лица об обработке его персональных данных, либо его надо уведомить о том, что его данные были переданы на обработку). Я, разумеется, опущу все перипетии отношений с номинальным персоналом, не будучи готовым посягнуть на высшие сферы. Кстати, в пункте 3 статьи 18 можно споткнуться о забавную (кому как, конечно) коллизию: существует возможность получить персональные данные третьего лица, но это не будет считаться обработкой (напомню, обработка - это сбор, накопление, хранение и проч., и проч). Такие дела. Согласие на обработку может быть выражено в любой форме, позволяющей подтвердить факт согласия. Это однозначно, разумеется, письменная форма, а также - электронная. Электронная форма согласия наиболее популярна и удобна в электронных приложениях: без такого согласия использование приложения будет просто невозможно (технически невозможно. Как следует, например, из дела № А56-56137/2013, в случае противоречия норм, регулирующих обработку персональных данных и норм, регулирующих публичный договор, последние будут иметь приоритет. И если клиент отказался давать согласие на обработку данных, ему, как акцептовавшему оферту, невозможно отказать). Что касается хитрых форм-анкет на сайтах - то в этом случае необходимо продумать механизм таким образом, чтобы физическое лицо не смогло вас поставить в неловкое положение, заявив о якобы отсутствовавшем согласии. Поздравляю, вы - оператор! Ох да, это мы поздно вспомнили. Как только вы получили письмо с вложением скана паспорта, вы - оператор! Разрезайте ленточку. У оператора есть масса обязанностей, большую часть которых вы не станете выполнять. Джентльменский минимум - уведомление физического лица о факте получения персональных данных (пункт 7 статьи 14 закона). Кстати, если уж персональные данные вы решили хранить на серверах, то находиться они должны на территории в РФ. А то понаоткрывают там на Западе готовок на наших людей. Если вы всё же мужественно решили следовать букве закона, то, как оператор, вы обязаны также: - публично разместить положение об обработке персональных данных; - принимать всяческие серьезные меры по защите персональных данных. Уже можно идти? Можно, разумеется. Но, всё же, стоит помнить, что как бы ни хотелось закрыть глаза, но факт обработки персональных данных в работе консалтинговых компаний присутствует. В настоящее время государство слишком увлечено выколачиванием денег из бизнеса, поэтому правонарушения в сфере обработки персональных данных вскрываются, как правило, в связи с обращением граждан в правоохранительные органы. Кибер-полиция и кибер-казаки пока еще облав не проводят. Ответственность за нарушение законодательства может варьироваться - предусмотрена не только административная ответственность (ст. 13.12. КоАП - штрафы до 1000 рублей на должностное лицо и до 10 000 рублей на юридическое лицо), но обязанность возместить нанесенный моральный вред. Конечно, можно смоделировать ситуацию, когда небрежно собранные персональные данные клиента нанесли ему в итоге какой-то ущерб, однако, в реальности, это практически не случается. То же самое касается морального вреда. В материалах дел фигурируют чудовищные страдания, причиненные опубликованием персональных данных, например "нарушение психического благополучия, душевного равновесия, унижение, раздражение, отчаяние, ущербность, чувство беспомощности, безысходности, бесправия, несвободы, дискомфорта, переходящего в депрессию". На суды подобный плач Дидоны не оказывает должного действия. Иными словами - нарушайте, но мементо мори. regafaq.ru Mod.Ch.
