La loi sur le transfert de données à caractère personnel à des tiers est réglementée au niveau fédéral. Le document documenté décrit le traitement correct des informations disponibles, leur sécurité et leur destruction, prend en compte les options relatives à la fourniture éventuelle de ces informations à la demande des autorités et de leur utilisation prévue. Un paragraphe séparé explique les cas d'imposition de sanctions pécuniaires pour la découverte et la diffusion de données à caractère personnel sans autorisation.
Qu'est-ce qu'une "information personnelle"?
Le 8 juillet 2006, un texte révisé sur ce type de données a été publié dans la loi fédérale, qui fournit les définitions pertinentes d'un acte juridique et de son interaction structurelle avec d'autres lois. Sa dernière révision date de 2017. Elle commençait par des dispositions générales, décrivant les conditions d'un éventuel traitement de l'information, les droits des citoyens, les obligations des opérateurs et le contrôle des agences gouvernementales.
Transfert de données personnelles à des tiers - qu'entend-on par là? Il s’agit de toute information directement ou indirectement liée au sujet. La divulgation d'informations doit respecter certains principes afin d'éviter d'éventuelles sanctions:
- suivre le but prévu par la loi;
- l'équité et la légalité de la collecte de données;
- l'exception de la combinaison d'objectifs et d'objectifs lors de l'utilisation de bases de données;
- collecte dirigée d'informations, inadmissibilité de leur redondance;
- pertinence de l'information;
- la période de stockage valide, après laquelle les données sont dépersonnalisées et supprimées.
La confidentialité
Pour toute collecte ciblée d'informations, le transfert de données à caractère personnel à des tiers doit faire l'objet d'un consentement. Sans un document officiellement signé, personne n'a le droit de vérifier certaines données personnelles. La loi fédérale prescrit la conservation des informations reçues. Par conséquent, les opérateurs et les consultants ayant accès aux données n'ont pas le droit de les diffuser sans le consentement du sujet. L'analyse des informations est réalisée uniquement avec une permission écrite. En cas de violation des règles et des principes de la divulgation des données personnelles, ainsi que de la confidentialité des informations disponibles sur un citoyen, un représentant est responsable pour une certaine nature. Le plus souvent, une amende et, dans de rares cas exceptionnels, une peine plus sévère.
Appel téléphonique
Le transfert à des tiers de données à caractère personnel, à savoir un numéro de téléphone et des informations connexes sur son propriétaire, y compris une description détaillée de la richesse financière et de la situation matrimoniale, du niveau d'éducation, est également considéré comme une violation de la loi.
De tels cas peuvent survenir lorsque des sociétés de crédit ou des sociétés souhaitant obtenir de nouveaux clients peuvent être invitées à fournir des informations sur leurs connaissances, leurs proches, susceptibles d'être intéressés par le service proposé. Beaucoup, sans se douter de rien, ont sans doute transmis aux consultants les informations nécessaires sur les numéros de téléphone, leurs propriétaires et même le niveau de leurs revenus. À première vue, des informations triviales, mais rendues publiques sans le consentement du propriétaire, peuvent faire partie d'une infraction administrative - article 13.11 du Code des infractions administratives de la Fédération de Russie pour avoir négligé la loi 152-FZ sur les données à caractère personnel. Afin de ne pas devenir l'otage d'une situation délicate, il est nécessaire d'éviter le transfert de données à caractère personnel à des tiers sans consentement.
Bancaire
Le plus souvent, les données sont transmises inconsciemment, impliquant des informations bancaires qui n'étaient pas initialement destinées à la publicité, ce qui est déjà interprété dans la partie 2 de l'article183 du Code pénal "Sur la divulgation illégale d'informations constituant un secret commercial ou bancaire, sans le consentement de leur propriétaire ...". Lors de l'obtention d'un prêt ou de la participation à toute autre transaction financière, le consentement de la personne dont les antécédents de crédit doivent être vérifiés est nécessaire. Autrement, la vérification des données ne sera pas légalement légale et pourrait mettre en danger les intérêts des déposants et des créanciers. Un client d'une banque ne peut, après s'être rendu dans le service approprié ou à la réception d'un consultant, consentir «automatiquement» à la systématisation, la collecte, la diffusion et le transfert à des tiers de données à caractère personnel. Pour cela, il existe un document spécial - consentement, qui est fourni pour signature avant l'envoi de toute information client à la base de données.
Dans le cas où le document est signé, l'analyse des données personnelles, à savoir l'inclusion d'informations dans le bureau de crédit de l'emprunteur, est considérée comme légale. Après cela, l'art. 857 du Code civil de la Fédération de Russie, selon lequel la banque donne une garantie de confidentialité sur le compte bancaire ou le dépôt, ainsi que sur d'autres opérations sur le compte et d'autres informations. En cas de non-respect des règles et de divulgation concurrente par la banque de toute information (transfert à un tiers des données à caractère personnel du client), l’établissement de crédit peut être tenu de récupérer des dommages et intérêts. Il est important que de tels points controversés figurent dans le contrat, sinon il n’a aucun sens de faire appel aux tribunaux.
Responsabilité pour infraction à la loi
Les circonstances spécifiques et la gravité de l'infraction entraînent une responsabilité administrative ou pénale.
Administratif comprennent:
- Le refus de transmettre en temps voulu à un citoyen des informations autorisées par la loi (article 5.39 du Code des infractions administratives de la Fédération de Russie) entraîne une amende de 5 000 à 10 000 roubles.
- Analyse de données à caractère personnel non prévues par la loi ou violation du but recherché (partie 1 de l'article 13.11 du Code administratif) - avertissement ou amende personnes - 3 mille roubles., fonctionnaires - jusqu'à 10 mille roubles., juridique. personnes - jusqu'à 50 mille roubles.
- Le traitement d'informations sans consentement signé pour le transfert de données à caractère personnel à des tiers (partie 2 de l'article 13.11 du code administratif) constitue une amende pouvant aller jusqu'à 5 000 roubles. pour les citoyens, jusqu'à 20 mille roubles. sujet officiel, jusqu'à 75 mille roubles. entité légale.
- Manquement aux obligations des opérateurs de fermer l'accès universel à l'analyse des données (Partie 3 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie) - avertissement ou recouvrement de citoyens jusqu'à 1 000 roubles, fonctionnaires jusqu'à 6 000 roubles, avec des entrepreneurs individuels jusqu'à 10 000 roubles ., de jur. personnes jusqu'à 30 mille roubles.
- Absence d'anonymisation des données (Partie 7 de l'article 13.11 du Code des infractions administratives) - une amende d'un fonctionnaire d'un maximum de 6 000 roubles ou un avertissement.
La responsabilité pénale pour le transfert de données à caractère personnel à des tiers est constituée des violations suivantes et des sanctions correspondantes:
- Réception illégale et diffusion publique d'informations à caractère personnel (art. 137 du Code pénal de la Fédération de Russie) - récupération de 200 000 roubles. ou travail obligatoire jusqu'à 360 heures, ou travail correctionnel - jusqu'à 1 an, ou travail forcé - jusqu'à 2 ans, ou arrestation jusqu'à 4 mois ou emprisonnement jusqu'à 2 ans.
- Avec un acte similaire avec l'utilisation de la position officielle, la peine augmente à 300 mille roubles. soit le travail forcé jusqu’à 4 ans, ou l’arrestation jusqu’à 6 mois, ou l’emprisonnement jusqu’à 4 ans. Dans chaque cas, l’employé est privé du droit d’occuper un poste déterminé de 2 à 5 ans.
- Ouverture de l'accès aux informations protégées entraînant leur destruction, leur modification ou leur copie (art. 272 du Code pénal de la Fédération de Russie) - une amende pouvant aller jusqu'à 200 000 roubles. ou travail correctionnel jusqu'à 1 an, restriction ou emprisonnement jusqu'à 2 ans, travail forcé.
Autres types de responsabilité et sanctions connexes
Le type de violation civile est également prévu pour le transfert de données à caractère personnel à des tiers, article 15 du Code civil, lorsque des pertes sont encourues (frais de restauration du droit violé, revenus non gagnés) lors du contournement de la loi.Ensuite, la sanction est une indemnisation pour les dommages causés. Lorsqu'il cause un préjudice moral conformément à l'art. 24 de la loi sur les données personnelles, art. 151 du Code civil, une indemnité est également prévue, le plus souvent en espèces.
Une responsabilité disciplinaire s'applique aux employés de l'entreprise qui ont été condamnés pour avoir divulgué et transféré des données à caractère personnel à des tiers, article 81, partie 1, clause 6, sous-clause «C» du Code du travail, à la suite de laquelle une mise à pied est prévue. En cas d'autres violations dans ce domaine, l'art. 90 et 192 du TC impliquent une réprimande ou un commentaire.
Protection des informations personnelles
Afin d’éviter que vos informations personnelles ne tombent dans la circulation du traitement de l’information de personnalités indésirables, il est bon de rappeler que pour chaque demande de ce type, il est nécessaire de signer un consentement personnellement documenté. Par exemple, de nombreuses institutions financières estiment qu'avec la conclusion d’un accord avec un client, le consentement du citoyen au traitement de ses informations personnelles s’étend automatiquement au transfert éventuel de données à caractère personnel par les banques à des tiers, des agences de recouvrement. Si cette clause ne figure pas dans l'accord signé entre le client et la banque, la divulgation d'informations sur l'emprunteur aux représentants de ces sociétés est illégale. Un aspect important est de faire attention lors de la lecture de chaque contrat, de sorte qu'en cas de violation de l'un des points, il y a lieu de porter plainte.
Travailleur et employeur
La société a décidé de classer les informations personnelles comme informations confidentielles lorsqu'il existe un mode de fonctionnement spécial et un plan de protection de toutes les données disponibles concernant les employés. Des conflits sur ce sujet controversé surviennent souvent dans des entreprises où la divulgation et le transfert des données personnelles d'un employé à des tiers sont possibles uniquement sur la base d'un consentement écrit. Les employés qui, en raison de leur devoir, ont reçu et sont légalement propriétaires des données de leurs collègues sont tenus de les utiliser uniquement aux fins auxquelles ils sont destinés et en aucun cas de divulguer des informations. Les exceptions ne peuvent être déterminées que par les lois fédérales.
Consentement
Un échantillon du transfert de données à caractère personnel à des tiers, qui sera affiché ci-dessous, doit être exécuté conformément à toutes les règles, conformément à la loi et aux dispositions mentionnées dans les actes juridiques de la société ou de l'entreprise. Il existe une instruction non écrite sur les exigences spéciales pour la préparation de ce document. Il est recommandé de l'écrire:
- Une casquette où le nom complet de la société est indiqué, ainsi que le nom et la fonction de la personne à qui le document est adressé.
- Le nom complet et la position de l'employé, les détails du passeport, le lieu de résidence sont indiqués ci-dessous.
- L’essence du consentement au transfert de données à caractère personnel à des tiers, exemple: «J’autorise la communication de mes informations et leur traitement dans l’intérêt de chacun, conformément à la loi fédérale n ° 152» (peut être rédigé librement).
- Une liste de ce qui sera traité.
- Liste des personnes et des organisations juridiques vers lesquelles des données peuvent être transférées.
- La nature de l'analyse envisagée: mixte, systématisée, y compris stockage ultérieur, transfert, dépersonnalisation, destruction.
- Période de validité.
- La procédure et les circonstances extérieures dans lesquelles l’employé a le droit de révoquer l’autorité du document.
- Conclusion
A quoi suis-je abonné?
Lors de la rédaction d'une demande de transfert de données à caractère personnel à des tiers, les informations suivantes sont traitées et peuvent être transférées à l'avenir:
- où et quand est née la personne;
- adresse d'enregistrement et de résidence avec indication d'un numéro de téléphone fixe (si disponible et enregistré);
- marié ou célibataire;
- statut social;
- dans quelle institution il a étudié;
- qui travaille et ancienneté;
- salaire et autres revenus;
- détails du passeport, certificat de pension, service militaire.
Vous pouvez contourner l'interdiction de transfert de données à caractère personnel à des tiers uniquement avec le consentement écrit du sujet.De telles preuves documentaires sont assez courantes dans les institutions privées et dans les organisations municipales. Elles constituent une preuve dans un litige et confirment également la légalité du transfert d'informations personnelles.
Droits exclusifs
La capacité à obtenir des données personnelles sur un employé appartient à certaines organisations qui en ont besoin pour s'acquitter de leurs tâches:
- Représentants de fonds de pension et d'assurances sociales.
- Inspection fédérale du travail et organes de surveillance et de contrôle de l'Etat sur le respect de l'application de la législation du travail
- Taxe.
- Les syndicats, l'organe exécutif chargé des enquêtes sur les accidents du travail.
Les résidents de cette catégorie doivent se conformer au régime de secret, à l'utilisation prévue de toutes les informations collectées, et être responsables du transfert des données à caractère personnel à des tiers. Et avec un désir personnel pour leur publication et leur distribution.
Comment vont les autres?
Au 21e siècle, presque tous les pays occidentaux ont approuvé des lois prévoyant une réglementation de la collecte et du traitement des informations personnelles. L’Italie et la France ont interdit aux employeurs de collecter des informations personnelles sur les employés, s’il ne s’agissait pas de qualités professionnelles, d’exigences de qualification, qui sont nécessaires à l’emploi. D'autres pays tentent également de limiter le traitement généralisé des données à caractère personnel, ainsi que des informations relatives à la race, aux opinions politiques ou religieuses, au statut social, aux préférences sexuelles, à l'appartenance à une organisation, à la consommation d'alcool, à l'état de santé, au statut de propriété.
Normes étrangères
Dans les pays de l'étranger proche et lointain, il est habituel de distinguer deux approches pour la détermination des données personnelles. Aux Pays-Bas, en Nouvelle-Zélande et en Suède, toute information sur une personne est considérée comme telle. Au Royaume-Uni, elle détaille le concept en définissant des critères et des catégories. Les voisins anglophones interdisent la collecte d'informations sur l'origine raciale, les opinions religieuses et politiques, la santé mentale, les antécédents judiciaires et l'orientation sexuelle. Aux États-Unis, une loi interdit aux dirigeants d’enquêter sur le passé des travailleurs. Si un entrepreneur veut tout savoir sur son subordonné, il doit obtenir sa permission écrite.
En Russie, ce concept peut différer des principes d'organisation, mais il s'agit essentiellement d'informations qui sont nécessaires à l'employeur pour établir des relations de travail. Il n'y a pas de liste spécifique par loi. Le type d'informations requises est déterminé par l'acte réglementaire de la société dans le cadre de la loi fédérale.
La loi fédérale n ° 152 indique que toute information sur une personne donnée, notamment son nom et ses initiales, les date et lieu de naissance, des informations sur le statut social, l'état civil, le niveau de revenus de la propriété, les études et les revenus fixes peut prendre la forme de données à caractère personnel. Selon le but du traitement des données disponibles, la liste peut être développée ou modifiée.
Chaque fois que vous devez signer des documents importants, vous devez faire attention à savoir si vous consentez à la collecte et au traitement d'informations vous concernant et si vous pouvez par la suite utiliser et transférer des données à caractère personnel à des tiers. En cas de violation de la loi entraînant un préjudice moral ou matériel à la suite de la divulgation de renseignements personnels, il est recommandé de saisir le tribunal de l'action en justice qui prévoit des amendes administratives et d'autres sanctions. S'il n'existe aucune preuve documentaire d'une fuite d'informations, il sera malheureusement difficile de prouver une violation de la loi.