Распространение персональных данных: что нужно знать?
1. Что такое «распространение» персональных данных?
Под «распространением» персональных данных понимаются действия, которые направлены на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Ключевым в данном случае является признак «неопределенному кругу лиц» - то есть установить перечень лиц, кому именно стали известны персональные данные, не представляется возможным.
К распространению персональных данных может быть отнесено, например:
- опубликование информации о человеке в социальных сетях, открытых базах данных и т.д.,
обнародование сведений о человеке в средствах массовой информации,
утечка данных в связи со сбоем информационных систем, если это привело к тому, что сведения стали известные неопределенному кругу лиц и т.д.
Именно признак «раскрытие персональных данных неопределенному кругу лиц» позволяет отличить распространение персональных данных от, например, предоставления персональных данных или доступа к персональным данным.
Рассмотрим основные отличия таких понятий.
| Критерии | Распространение персональных данных | Предоставление персональных данных | Доступ к персональным данным |
| Определение | Действия, которые направлены на раскрытие персональных данных неопределенному кругу лиц. | Действия, которые направлены на раскрытие персональных данных определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). | Действия, которые направлены на раскрытие персональных данных только специально уполномоченным лицам, которым такие персональные данные необходимы для выполнения конкретных трудовых функций (абз. 6 ст. 88 Трудового кодекса РФ). |
|
Пояснения |
Установить конкретный перечень лиц, которым стало известно о персональных данных, нельзя, поскольку раскрытие персональных данных носит массовый характер. | В данном случае круг лиц, которым были раскрыты персональные данные, вполне определен (например, это могут быть работники контрагентов для исполнения обязательств между организациями и т.д.). | В локальных нормативных актах должно быть прямо определено, кому и с какими целями предоставляется право доступа к персональным данным работников. |
| Наличие отдельного согласия | Требуется (ч. 1 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») | Не требуется, если такое действие уже отражено в согласии работника на обработку персональных данных | Не требуется, если такое действие уже отражено в согласии работника на обработку персональных данных |
2. Какие меры нужно предпринять, чтобы распространение персональных данных было признано законным?
Для законного распространения персональных данных работодатель должен выполнить следующие шаги.
1) Закрепить соответствующие положения в локальных нормативных актах. В документах необходимо четко прописать:
- цели обработки и распространения персональных данных;
- перечень действий, которые работодатель вправе совершать с персональными данными (включая прямое указание на возможность их распространения);
- перечень действий, которые работодатель вправе совершать с персональными данными (включая прямое указание на возможность их распространения);
- категории персональных данных, подлежащих распространению;
- способы распространения персональных данных.
2) Получить отдельное согласие субъектов персональных данных.
Работодатель должен получить письменное согласие работников и иных лиц, чьи персональные данные планируется распространять.
В таком согласии должно быть прямо указано, какие категории персональных данных субъект разрешает распространять и в каких целях.
Требования к согласию на распространение персональных данных определены Приказом Роскомнадзора от 24.02.2021 № 18.
3) Уведомить Роскомнадзор о своем намерении обрабатывать персональные данные. Согласно части 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор обязан уведомить надзорный орган о планируемой обработке данных, включая их распространение.
На подачу уведомления есть всего 24 часа (п. 1 части 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). За нарушение сроков подачи уведомления или не подачу административный штраф будет от 1 до 3 млн. руб.
- окончательные выводы о причинах утечки и подтверждённый вред для субъектов данных;
- подробный перечень мер, которые были приняты для устранения последствий;
- реквизиты решения работодателя о проведении расследования (номер, дата);
- сведения о виновных лицах (если они установлены), включая IP адреса устройств и их местонахождение (если утечка связана с действиями посторонних);
- любые дополнительные сведения, которые помогут прояснить детали произошедшего инцидента.
4. Какие действия необходимо предпринять, чтобы сократить риски утечки персональных данных?
Для минимизации риска утечки персональных данных работодатель должен организовать и внедрить ряд организационных, технических и правовых мер, а именно:
1) провести классификацию персональных данных для применения соответствующих мер безопасности,
2) определить, какие угрозы безопасности персональных данных могут возникнуть при их обработке в информационных системах, зафиксировать их документально,
3) проводить оценку соответствия средств информации, которые используются в организации,
4) назначить лицо, которое будет ответственным за обеспечение безопасности персональных данных, и предоставлять доступ к персональным данным только тем сотрудникам, которыми это необходимо для исполнения трудовых обязанностей,
5) не реже 1 раза в 3 года в сроки, установленные оператором персональных данных, проводить контроль за выполнением требований к обработке персональных данных, фиксировать такие мероприятия документально,
6) вести учет машинных носителей персональных данных документально,
7) осуществлять контроль за мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем, с помощью которых происходит обработка персональных данных,
8) детальнее изучать информационные системы провайдера, если обработку персональных данных будет осуществлять третье лицо.
5. Что влечет за собой незаконное распространение персональных данных для работодателя?
В эпоху цифровизации защита персональных данных — не просто требование закона, но и вопрос репутации и финансовой стабильности компании.
Неправомерное распространение персональных данных может обернуться для работодателя серьезными материальными потерями. Ответственность в данном случае наступает по ст. 13.11 КоАП РФ, а с 30 мая 2025 года размеры штрафов по ней существенно выросли.
См. ст 13.11 КоАП РФ административный штраф может быть от 3 до 20 млн. при первом выявленном инциденте!
Проведение аудита является обязанностью каждого Оператора. Такой аудит можно провести своими силами или заказать у внешнего провайдера. Наша компания проводит такие аудиты с 2009 года.
Чтобы получить анкету для подготовки индивидуального предложения:
- написать на почту i.krotov@mitrofanova.ru
- позвонить по тел. +7(916) 416-49-60
