Кто может быть источником персональных данных

Передача персональных данных допускается только при наличии законных оснований. Основным нормативным актом, регулирующим этот процесс, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». В соответствии с ним передавать персональные данные могут как операторы, так и лица, действующие по поручению оператора, при соблюдении установленных требований.

Оператор персональных данных – это юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных. Передача возможна только в случаях, предусмотренных законом или с согласия субъекта данных. Если данные передаются третьему лицу, оператор обязан удостовериться в наличии правовых оснований у получателя и зафиксировать факт передачи в документах.

Если обработка осуществляется по поручению, то исполнитель (например, подрядчик, IT-провайдер, колл-центр) может передавать данные строго в пределах установленного поручения. Заключение договора поручения на обработку персональных данных обязательно, и он должен включать перечень допустимых действий, меры защиты и порядок возврата или уничтожения данных.

При трансграничной передаче необходимо убедиться, что государство, на территорию которого передаются данные, обеспечивает адекватную защиту прав субъектов. Если такой гарантии нет, передача возможна только при наличии письменного согласия субъекта с указанием конкретных целей передачи.

Передача без согласия возможна в ограниченных случаях, предусмотренных законом: исполнение договора, защита жизни и здоровья субъекта, выполнение обязательств перед государственными органами. Каждый такой случай должен быть подтвержден соответствующими документами.

Передача персональных данных внутри организации

Передача персональных данных между структурными подразделениями возможна только в рамках утвержденных регламентов обработки данных. Такие регламенты должны соответствовать положениям статьи 19 Федерального закона № 152-ФЗ и учитывать цели обработки, круг лиц, имеющих доступ, а также меры безопасности.

К передаче допускаются только те сотрудники, для которых такая информация необходима для выполнения должностных обязанностей. Например, отдел кадров может передавать персональные данные бухгалтерии для расчёта заработной платы, но не обязан раскрывать всю анкетную информацию, если она не требуется.

Передача должна фиксироваться в документах: внутренние распоряжения, журналы учета доступа или автоматизированные журналы действий. В организациях с высокой степенью автоматизации необходимо реализовать разграничение прав доступа к информационным системам, где хранятся персональные данные.

Если передача осуществляется через электронную почту или другие цифровые каналы, требуется обязательное шифрование или использование внутренних защищённых каналов связи. Также необходимо вести журнал отправки и получения, чтобы при необходимости можно было восстановить маршрут данных.

Работодателю следует проводить регулярные инструктажи по соблюдению конфиденциальности и включать положения о недопустимости несанкционированного распространения данных в трудовые договоры и внутренние положения.

Каждая передача персональных данных внутри организации должна быть обоснованной, минимизированной по объему и соответствовать принципу соразмерности. Передача «на всякий случай» противоречит требованиям законодательства и может привести к административной ответственности.

Когда сотрудник имеет право передавать данные третьим лицам

Сотрудник организации может передавать персональные данные третьим лицам только при наличии правового основания и соблюдении установленных процедур. Передача без соответствующего обоснования может привести к нарушению законодательства о защите персональных данных (в том числе ст. 6 и ст. 7 Федерального закона № 152-ФЗ).

Допустимые случаи передачи включают:

• наличие письменного согласия субъекта персональных данных, оформленного в соответствии с требованиями закона;
• заключение договора, в рамках которого передача данных необходима для исполнения условий (например, договор с курьерской службой, если требуется указание адреса доставки);
• обязанность предоставить данные в соответствии с законом или запросом государственных органов (например, налоговых, следственных, судебных);
• обработка данных осуществляется по поручению оператора – например, в рамках договора с аутсорсинговой бухгалтерией или IT-подрядчиком, при условии подписания соответствующего соглашения о конфиденциальности и поручении на обработку данных;
• иные случаи, прямо предусмотренные законодательством РФ.

Перед передачей данных сотрудник обязан:

1. убедиться в наличии основания для передачи и актуальности согласия субъекта (если оно требуется);
2. проверить, предусмотрена ли передача внутренними регламентами (должны быть описаны в политике обработки персональных данных);
3. задокументировать факт передачи (например, акт, служебная записка, реестр);
4. передать данные в зашифрованном или защищённом виде, если это требуется уровнем конфиденциальности информации.

Передача без согласования с уполномоченными на то лицами (например, ответственным за защиту ПДн) или в обход утверждённых процедур – основание для дисциплинарной ответственности, а в отдельных случаях – административной или уголовной.

Передача персональных данных между юридическими лицами

Передача персональных данных между юридическими лицами допустима только при наличии законных оснований, предусмотренных статьей 6 Федерального закона № 152-ФЗ. Основное условие – получение согласия субъекта данных, если иное не установлено законом.

Если одна организация передаёт данные другой на основании договора, например, аутсорсинга кадрового учёта, в тексте соглашения должно быть указано, что принимающая сторона обязуется соблюдать требования закона о защите персональных данных. Рекомендуется прописывать объем передаваемых сведений, цели обработки и ответственность сторон за нарушение установленного порядка.

Согласие субъекта должно быть оформлено в письменной форме или в электронной форме с усиленной квалифицированной подписью. В согласии обязательно указываются сведения о получателе данных, цели обработки и перечень передаваемых данных.

В исключительных случаях передача возможна без согласия, если это предусмотрено законом – например, передача данных в налоговые органы или в рамках исполнения судебного акта. Однако такие основания должны быть прямо указаны в нормативных актах и подтверждаться соответствующими документами.

Юридические лица, получающие персональные данные, становятся операторами и обязаны соблюдать все требования по обеспечению их безопасности: назначение ответственного лица, принятие локальных актов, проведение оценки вреда и уровня угроз, внедрение организационных и технических мер защиты.

Передача без соблюдения вышеуказанных условий квалифицируется как нарушение закона и может повлечь административную ответственность по статье 13.11 КоАП РФ, включая штрафы до 100 000 рублей для юридических лиц.

Передача данных по поручению оператора

Оператор персональных данных вправе поручить обработку третьему лицу – такому субъекту присваивается статус обработчика. Передача данных в этом случае не считается распространением и возможна без согласия субъекта при соблюдении условий, установленных п. 3 ч. 1 ст. 6 и ст. 6.1 Федерального закона № 152-ФЗ.

Передача допускается при наличии письменного договора или иного юридического акта между оператором и обработчиком. В документе обязательно указываются:

• цели и объем обработки;
• конкретные действия с данными (сбор, хранение, передача и пр.);
• обязанность обработчика соблюдать конфиденциальность;
• требования к защите информации в соответствии с Постановлением Правительства РФ № 1119.

Обработчик не имеет права использовать данные в своих целях и несет ответственность перед оператором за соблюдение обязательств. Оператор, в свою очередь, обязан контролировать действия обработчика и при выявлении нарушений принимать меры, вплоть до расторжения договора.

Если обработка предполагает трансграничную передачу, оператор обязан убедиться в соответствии уровня защиты в принимающей стране требованиям российского законодательства либо получить согласие субъекта, если иное не предусмотрено законом.

В случае утечки по вине обработчика ответственность перед субъектом может быть возложена как на обработчика, так и на оператора – в зависимости от степени контроля и характера нарушений. Поэтому операторам рекомендуется проводить предварительную проверку контрагента и включать в договор санкции за несоблюдение требований к обработке данных.

Роль оператора при передаче данных государственным органам

Оператор персональных данных может передавать информацию государственным органам только в случаях, прямо предусмотренных законодательством. Основанием для такой передачи служат нормативные правовые акты, запросы, оформленные в установленном порядке, или обязательства, вытекающие из договоров с государственными учреждениями.

• Передача возможна без согласия субъекта данных, если это требуется для исполнения возложенных на оператора обязанностей (например, передача в налоговые органы, суд или правоохранительные структуры).
• Запрос от государственного органа должен содержать ссылку на норму закона, дающую право запрашивать конкретные данные.
• Оператор обязан проверить полномочия органа, направившего запрос, и убедиться в наличии правовых оснований.
• Перед передачею оператор фиксирует факт получения запроса, дату, суть и основания, чтобы при необходимости подтвердить законность действий.

Оператор должен соблюдать принципы минимизации данных: передаются только те сведения, которые прямо указаны в запросе. Избыточная информация не предоставляется.

1. Документы, подтверждающие правомерность передачи, должны храниться в течение срока, установленного внутренними регламентами оператора или требованиями законодательства.
2. Если запрос касается специальной категории данных (например, медицинских), необходимо дополнительное правовое основание, кроме общего запроса.

Важно обеспечить защиту информации при передаче – использовать защищённые каналы связи, шифрование и вести учёт всех операций. При нарушении порядка передачи оператор несёт ответственность согласно статье 13.11 КоАП РФ или другим применимым нормам.

Условия передачи данных по согласию субъекта

Передача персональных данных на основании согласия субъекта возможна только при наличии четко выраженного, информированного и добровольного согласия. Согласие должно содержать конкретные цели обработки и передачи данных, перечень получателей, а также период хранения информации.

Субъект должен получить исчерпывающую информацию о характере передаваемых данных, способах их использования и правах, включая право отозвать согласие в любое время. Передача без такой информации считается незаконной.

Согласие оформляется в письменном или электронном виде, что обеспечивает доказуемость факта его получения. Устные согласия не рекомендуются и не считаются надёжными в случае спора.

Передача данных возможна только в пределах указанных в согласии целей. Любое отклонение от этих целей требует получения нового согласия.

При передаче данных третьим лицам оператор обязан удостовериться, что получатель гарантирует конфиденциальность и защиту информации на уровне, не ниже установленного оператором.

Если субъект отозвал согласие, передача данных должна быть немедленно прекращена, а полученные данные подлежат удалению или обезличиванию, если иное не предусмотрено законом.

Особое внимание уделяется обработке специальных категорий персональных данных (например, медицинских или биометрических), для которых требуется отдельное, явно выраженное согласие.

Передача данных без согласия: правовые основания

Передача персональных данных без согласия субъекта возможна только при наличии законных оснований, предусмотренных законодательством. К таким основаниям относится исполнение обязательств по договору, если данные необходимы для его исполнения.

Другим основанием является выполнение требований или распоряжений государственных органов в рамках их полномочий, например, при проведении проверок или расследований.

Закон допускает передачу данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта или третьих лиц, когда получение согласия затруднено или невозможно.

Также допускается передача данных в рамках исполнения юридических обязанностей оператора, например, при соблюдении налогового или трудового законодательства.

При передаче данных без согласия необходимо строго соблюдать принцип минимизации – передавать только те сведения, которые необходимы для достижения законной цели.

Рекомендуется фиксировать правовое основание и цель передачи, а также обеспечивать документальное подтверждение соответствующих процедур для минимизации рисков правонарушений.

Ответственность за неправомерную передачу персональных данных

Неправомерная передача персональных данных влечёт административную, гражданско-правовую и уголовную ответственность в зависимости от тяжести нарушения и последствий.

Административная ответственность предусмотрена статьями КоАП РФ, в частности ст. 13.11, которая предусматривает штрафы для должностных лиц от 10 000 до 50 000 рублей, а для юридических лиц – до 100 000 рублей за нарушение порядка обработки и передачи персональных данных.

Гражданско-правовая ответственность выражается в обязанности возместить ущерб, причинённый субъекту данных, в том числе моральный вред. Пострадавший имеет право требовать компенсацию через суд.

Уголовная ответственность наступает при умышленной передаче персональных данных с целью причинения вреда, предусмотрена статьёй 137 УК РФ. Санкции включают штрафы до 300 000 рублей, обязательные работы или лишение свободы до двух лет.

Ответственность несут как операторы, так и их сотрудники, допустившие нарушение. Для юридических лиц важна организация внутреннего контроля и внедрение процедур предотвращения утечки данных.

Рекомендуется:

• Внедрять регламенты обработки и передачи персональных данных.
• Проводить регулярные инструктажи и контроль исполнения требований законодательства.
• Использовать технические средства защиты информации.
• Документировать согласия субъектов персональных данных и основания для передачи.

Своевременное выявление и устранение нарушений минимизирует риск привлечения к ответственности и снижает репутационные потери.

Вопрос-ответ:

Кто имеет право передавать персональные данные третьим лицам?

Право на передачу персональных данных принадлежит лицу, которое выступает оператором или иным уполномоченным субъектом, например, сотруднику, действующему в рамках своих должностных обязанностей. Передача допустима только при наличии законных оснований, таких как согласие субъекта данных, исполнение договора, выполнение требований законодательства или защита жизни и здоровья. Несанкционированная передача запрещена и может привести к ответственности.

Можно ли сотруднику компании передавать персональные данные контрагенту без согласия клиента?

Сотрудник может передавать данные контрагенту только если это предусмотрено внутренними регламентами и соответствует целям обработки данных, а также если существует правовое основание для передачи. Обычно это возможно при наличии согласия клиента или при необходимости исполнения договора с клиентом. Без таких условий передача считается нарушением законодательства.

Какие последствия грозят за неправомерную передачу персональных данных?

Нарушение требований по передаче данных может привести к административным штрафам, гражданско-правовой ответственности и даже уголовной ответственности в зависимости от тяжести нарушения. Кроме того, организация или сотрудник рискуют потерять доверие клиентов и репутацию. Важно соблюдать требования законодательства и правила обработки информации.

Может ли посредник, не являющийся оператором, передавать персональные данные дальше?

Посредник может осуществлять передачу персональных данных только если он действует по поручению оператора и в рамках заключенного договора, который предусматривает защиту данных и соблюдение требований закона. Самовольная передача данных посредником без согласия оператора и без правового основания недопустима и является нарушением.